최종 업데이트 21:15
소개 편집원칙 RSS

INDEPENDENT AI · TECH JOURNAL

SEOUL AI PRESS

AI와 기술을, 사실부터

그 외 뉴스 2개 출처 교차 확인

SAP, 7월 패치 데이에 CVSS 9.9 NetWeaver ABAP 취약점 포함 보안 노트 20개 공개

SecurityWeek에 따르면 SAP는 2026년 7월 보안 패치 데이에 신규 및 업데이트된 보안 노트 20개를 발표했다. 여기에는 NetWeaver Application Server ABAP의 메모리 손상 취약점(CVE-2026-44747, CVSS 9.9)을 비롯해 Approuter와 Commerce Cloud의 심각 취약점이 포함됐다.

SecurityWeek · The Hacker News
교차 확인 2개 원문 출처
예상 읽기 약 2분
기사 구분 뉴스 · 맥락 별도

The Hacker News에 따르면, CVE-2026-44747은 메모리 관리의 논리적 오류를 이용하는 범위 초과 쓰기(out-of-bounds write) 결함으로, 인증된 공격자가 비인가 데이터 접근·변조 또는 시스템 중단을 유발할 수 있다. 임시 완화책은 트랜잭션 SICF에서 특정 속성을 가진 모든 ICF 노드를 비활성화하는 것이나, 이 경우 SAP GUI for HTML에서 트랜잭션을 열 수 없게 되므로 모든 고객에게 적합하지 않으며, Onapsis는 패치된 ABAP 커널 버전 설치를 강력히 권고했다.

CVSS 9.1을 부여받은 취약점도 두 건 포함됐다. CVE-2026-27690은 비Cloud Foundry 환경에 배포된 SAP Approuter에 영향을 미치는 HTTP 요청·응답 밀수(request/response smuggling) 취약점으로, 비인증 공격자가 특수 제작된 HTTP 요청으로 요청과 응답의 비동기화를 일으켜 사용자 응답 노출과 서비스 거부(DoS)를 초래할 수 있다. CVE-2026-44761은 SAP Commerce Cloud의 기본 또는 하드코딩된 자격증명 취약점으로, 개발·테스트용 샘플 구성 스크립트가 알려진 자격증명을 사용하는 OAuth2 클라이언트를 구성하는 데서 비롯됐다. 이를 악용한 비인증 공격자는 해당 자격증명으로 액세스 토큰을 얻어 특정 API를 호출하고 시스템 데이터를 읽거나 변경할 수 있다. 다만 이 취약점은 고객이 샘플 스크립트를 실행한 뒤 하드코딩된 시크릿을 바꾸지 않고 생성된 OAuth2 클라이언트를 운영 환경에 유지한 경우에만 악용될 수 있으며, 샘플 클라이언트를 제거했거나 시크릿을 강력한 고유값으로 교체한 고객은 영향을 받지 않는다. 이전 SAP Commerce Cloud 문서에는 기본 설정을 운영 환경으로 가져오지 말라는 명시적 경고가 없었다. 고객에게는 운영 환경에서 영향받는 샘플 OAuth2 클라이언트 또는 하드코딩 자격증명의 존재 여부를 점검하고, 해당 클라이언트가 있으면 제거하라는 권고가 제시됐다.

국립기록보관소 서버실

SecurityWeek에 따르면, 이번 패치 데이에는 Integration Suite의 Edge Integration Cell, SAProuter, NetWeaver Application Server Java의 Configuration Wizard, Approuter, Commerce Cloud, Change and Transport System Attach Tool의 고심각도 결함을 다루는 보안 노트 6개도 포함됐다. Integration Suite 및 Commerce Cloud 관련 노트에는 Apache Camel과 Apache Tomcat의 여러 보안 결함에 대한 패치가 포함됐다. 나머지 신규 및 업데이트 노트는 NetWeaver, S/4HANA, Fiori, CRM, HANA Extended Application Services Classic Model의 중·저심각도 결함을 다룬다. SAP는 또한 6월에 처음 패치한 NetWeaver 심각 취약점의 보안 노트를 추가 패키지 지원을 위해 업데이트했다. The Hacker News에 따르면, 해당 취약점들이 실제 환경에서 악용됐다는 증거는 없다.

자료사진 출처

총 3건
  1. 독일 SAP AG 본사 건물 · 자료사진 사진 amadeusm · Wikimedia Commons · Public domain
  2. 국립기록보관소 서버실 · 자료사진 사진 The National Archives (UK) · Wikimedia Commons · CC BY 3.0
  3. SAP 로고 · 자료사진 사진 SAP SE · Wikimedia Commons · CC BY-SA 4.0

원문 출처

총 2건

이 기사는 위 원문들에서 사실만 교차 확인해 재구성했으며, 원문 문장·사진을 전재하지 않았습니다. 집필 단계의 AI는 원문을 열람하지 않고, 별도 검증을 통과한 사실만 사용했습니다. 사실관계에 오류가 있다면 정정을 요청해 주세요(nickpark77@gmail.com).

그 외 다른 기사