製品・ソフトウェアに関する情報

JVN脆弱性詳細

SAPのSAP Netweaver Application Server ABAPにおけるコマンドインジェクションの脆弱性

Title	SAPのSAP Netweaver Application Server ABAPにおけるコマンドインジェクションの脆弱性
Summary	SAP NetWeaver Application Server for ABAPおよびABAPプラットフォームには、認証された管理者権限を持つ攻撃者が特別に細工されたシェルコマンドをサーバー上で実行できるOSコマンドインジェクションの脆弱性が存在します。この脆弱性により、ログ機構を回避して意図しないOSコマンドを検出されることなく実行できるため、アプリケーションの完全性および可用性に影響を与える可能性がありますが、機密性には影響を与えません。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 12, 2026, midnight
Registration Date	June 5, 2026, 10:47 a.m.
Last Update	June 5, 2026, 10:47 a.m.

Affected System

SAP

SAP Netweaver Application Server ABAP 753

SAP Netweaver Application Server ABAP 754

SAP Netweaver Application Server ABAP 755

SAP Netweaver Application Server ABAP 756

SAP Netweaver Application Server ABAP 757

SAP Netweaver Application Server ABAP 758

SAP Netweaver Application Server ABAP 816

SAP Netweaver Application Server ABAP 700

SAP Netweaver Application Server ABAP 701

SAP Netweaver Application Server ABAP 702

SAP Netweaver Application Server ABAP 731

SAP Netweaver Application Server ABAP 740

SAP Netweaver Application Server ABAP 750

SAP Netweaver Application Server ABAP 751

SAP Netweaver Application Server ABAP 752

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40135	https://www.cve.org/CVERecord?id=CVE-2026-40135
National Vulnerability Database (NVD)
2	CVE-2026-40135	https://nvd.nist.gov/vuln/detail/CVE-2026-40135

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-77	https://cwe.mitre.org/data/definitions/77.html

ベンダー情報

No	Name	URL
SAP Security Patch Day
1	SAP Security Notes & News	https://url.sap/sapsecuritypatchday

Change Log

No	Changed Details	Date of change
1	[2026年06月05日] 掲載	June 5, 2026, 10:47 a.m.

NVD Vulnerability Information

CVE-2026-40135

Summary	An OS Command Injection vulnerability exists in the SAP NetWeaver Application Server for ABAP and ABAP Platform that allows an authenticated attacker with administrative access to execute specially crafted shell commands on the server, bypassing the logging mechanism. This allows the execution of unintended OS commands without detection, potentially impacting the integrity and availability of the application, with no impact on confidentiality.
Publication Date	May 12, 2026, 12:16 p.m.
Registration Date	May 13, 2026, 4:11 a.m.
Last Update	May 12, 2026, 11:19 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://me.sap.com/notes/3730019	cna@sap.com
2	https://url.sap/sapsecuritypatchday	cna@sap.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-77	コマンドインジェクション	https://cwe.mitre.org/data/definitions/77.html