SAP Commerce Cloud와 S/4HANA 취약점

요약

SAP는 2026-05-12 Security Patch Day에서 신규 보안 노트 15건을 공개했다. 이 중 SAP Commerce Cloud configuration 취약점 CVE-2026-34263과 SAP S/4HANA Enterprise Search for ABAP 취약점 CVE-2026-34260이 CVSS 9.6으로 분류됐다.

CVE-2026-34263은 Spring Security 설정의 과도한 허용 범위와 rule ordering 문제로 인증되지 않은 configuration upload와 code injection이 가능해지는 취약점이다. CVE-2026-34260은 Enterprise Search for ABAP에서 사용자 입력이 SQL query에 직접 결합되는 SQL injection이다. 2026-05-12 공개 보도 기준으로 SAP는 두 취약점의 실제 악용(in the wild)을 언급하지 않았다.

일정

취약 지점

CVE-2026-34263의 취약 지점은 SAP Commerce Cloud configuration 처리 영역이다. 공개 분석에서 확인되는 핵심은 Spring Security configuration이 과도하게 허용되어 있고 rule ordering이 부적절하다는 점이다. 이 상태에서 인증되지 않은 사용자가 악성 configuration file을 upload하고 code injection primitive를 만들 수 있다. 공개 자료에는 구체 endpoint, parameter, upload format, patch diff가 나오지 않는다.

영향 버전은 다음 track이다.

commerce_cloud:
  cve: CVE-2026-34263
  sap_note: 3733064
  component: CEC-SCC-CDM-BO-APP
  affected_versions:
    - HY_COM 2205
    - COM_CLOUD 2211
    - COM_CLOUD 2211-JDK21

CVE-2026-34260의 취약 지점은 SAP S/4HANA의 SAP Enterprise Search for ABAP이다. 사용자 제어 입력이 validation 또는 sanitization 없이 SQL query에 결합되고, 그 query가 underlying database로 전달된다. Onapsis 분석에 따르면 affected source code는 read access 경로라 integrity 영향은 없는 것으로 평가됐다. exploit primitive는 SQL statement injection이며, 확인된 영향은 sensitive database information 노출과 application crash다.

영향 범위는 다음 SAP_BASIS release다.

s4hana_enterprise_search:
  cve: CVE-2026-34260
  sap_note: 3724838
  component: BC-EIM-ESH
  affected_sap_basis:
    - "751"
    - "752"
    - "753"
    - "754"
    - "755"
    - "756"
    - "757"
    - "758"
    - "816"

탐지 포인트

네트워크

• Commerce Cloud configuration 또는 admin 접근면에 대한 비인증 세션의 성공 응답을 본다.
• configuration upload, import, update 성격의 요청이 배포 파이프라인 밖에서 발생했는지 확인한다.
• S/4HANA Enterprise Search 호출량 급증, low-privilege 계정의 반복 검색, 검색 직후 HTTP 5xx 또는 backend error 증가를 본다.
• 공개 PoC 요청이나 고정 IOC는 확인되지 않았으므로 특정 URL signature보다 인증 상태와 configuration 변경 이벤트의 불일치를 우선한다.

엔드포인트

• Commerce Cloud에서는 configuration upload/import handler, cloud configuration 관리 기능, 관련 audit event를 확인한다.
• 인증되지 않은 요청이 configuration 변경 성공 이벤트와 같은 시간대에 묶이면 우선순위를 높인다.
• S/4HANA에서는 Enterprise Search for ABAP 호출과 SQL error, 비정상적으로 긴 검색어, escaping 문자가 많은 입력, 반복 실패를 같은 타임라인에서 본다.

서버

• Commerce Cloud node에서 예상 밖의 configuration file 변경, runtime artifact 생성, 배포 이력 없는 애플리케이션 동작 변경을 확인한다.
• RCE primitive 특성상 새 파일, 임시 파일, 외부 프로세스 실행 흔적은 보조 신호로 본다. 공개 자료에 무기화된 실행 절차는 없다.
• S/4HANA에서는 Enterprise Search 호출 직후의 database error, ABAP short dump, 애플리케이션 crash를 확인한다.
• CVE-2026-34260은 integrity 영향이 없는 것으로 평가됐으므로 데이터 변경보다 조회 실패, 정보 노출, crash 흔적에 초점을 둔다.

대응 포인트

SAP Note 3733064와 3724838 적용 상태를 먼저 확인한다. SAP-managed Commerce Cloud tenant는 tenant update 상태를 운영 채널에서 확인하고, self-managed 또는 hybrid 형태는 사용 중인 track이 HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21인지 따로 검증한다.

패치 전에는 Commerce Cloud configuration/admin 접근면을 IP allowlist, SSO, mTLS, VPN 뒤로 좁힌다. configuration upload가 필요한 운영 경로는 변경 승인 이력, 배포 로그, application audit log와 맞춰 본다.

S/4HANA는 SAP_BASIS 751부터 758, 816까지의 Enterprise Search for ABAP 사용 여부를 확인한다. 패치 전에는 Enterprise Search 사용 계정과 권한을 줄이고, low-privilege 계정의 반복 검색과 SQL error, ABAP dump를 짧은 간격으로 확인한다. WAF만으로는 ABAP 애플리케이션 내부 SQL 생성 문제를 안정적으로 막기 어렵다.

참고 자료

• SAP Security Patch Day - May 2026
• SAP Note 3733064
• SAP Note 3724838
• NVD - CVE-2026-34263
• NVD - CVE-2026-34260
• CSA Singapore - Critical Vulnerabilities in SAP Commerce Cloud and SAP S/4HANA
• Onapsis - SAP Security Patch Day for May 2026
• BleepingComputer - SAP fixes critical vulnerabilities in Commerce Cloud and S/4HANA
• SecurityWeek - SAP Patches Critical S/4HANA, Commerce Vulnerabilities