SAP修補NetWeaver與Commerce重大漏洞

根據CVSS風險評分，最危險的是CVE-2026-44748，此為SAML身分驗證當中的XML簽章包裝漏洞，影響NetWeaver AS ABAP與ABAP平臺，CVSS風險值為9.9（滿分10分）。具備正常權限的認證攻擊者可取得有效的簽章訊息，並將修改後的XML檔案傳送給驗證者，而有可能導致被竄改的身分資訊被受理，進而導致攻擊者能未經授權存取敏感用戶資料，甚至干擾系統正常使用。其次是風險值為9.8的CVE-2026-27671，存在於ABAP應用程式伺服器與ABAP平臺，為記憶體中斷漏洞，原因是SAP核心的RFC通訊協定的不當驗證引起，未經身分驗證的攻擊者可發送特製RFC請求，造成該系統的記憶體管理出現邏輯錯誤並中斷。

值得留意的是，其中有一個是存在於SAP Commerce Cloud與SAP Data Hub，該漏洞編號為CVE-2026-22732，出現在這些系統採用的Spring Security元件，CVSS風險值為9.1。