SAP、Commerce CloudとS/4HANAのCriticalな脆弱性に対処：CVE-2026-34263、CVE-2026-34260

SAP、Commerce CloudとS/4HANAのCriticalな脆弱性に対処：CVE-2026-34263、CVE-2026-34260

BleepingComputer – May 12, 2026

SAPが2026年5月のセキュリティアップデートをリリースし、複数製品における脆弱性15件に対処。これには、Commerce CloudおよびS/4HANAにおける「Critical」評価の脆弱性2件が含まれる。

1件目のCriticalな脆弱性は、CVE-2026-34263。SAP Commerce Cloudにおいて認証チェックが存在しないことによるコード実行の脆弱性。Spring Securityの構成設定が不適切なことに起因し、認証されていないユーザーによる悪意ある構成アップロードやコードインジェクションの実行を可能にし、任意のサーバーサイドコード実行につながる恐れがある。

2件目のCVE-2026-34260は、SAP S/4HANAにおけるSQLインジェクションの脆弱性。悪用を成功させた攻撃者は、機微なデータベース情報への不正アクセスを達成できる恐れがあるほか、アプリケーションをクラッシュさせることも可能になる恐れがある。

SAPは今回のアップデートでこのほかにもコマンドインジェクションの脆弱性やXSSの脆弱性など12件を修正しているが、いずれも実際の攻撃で悪用された形跡は見つかっていないとのこと。

Claude Mythosはcurlから発見できた脆弱性は1件のみ、同AIの性能めぐる専門家の意見は割れることに

SecurityWeek – May 12, 2026

アンソロピックのAI「Claude Mythos」がデータ転送ツール「curl」からたった1件の深刻度の低い脆弱性しか発見しなかったことを受け、セキュリティ業界ではMythosの性能に関するアンソロピックな強気な主張を疑問視する人々と、Mythosの制約よりもむしろcurlの堅牢なセキュリティを評価する人々とで意見が二分されているという。

Claude Mythosは、その性能の高さゆえ一部の企業・組織にのみ限定提供されているアンソロピックのAIツール。人気のオープンソースライブラリ「curl」のリード開発者Daniel Stenberg氏は、Mythosをテストする機会を得たとブログ記事の中で明かしている。ただし、同氏自身にMythosのアクセスは与えられたわけではなく、第三者がMythosにcurlの178,000行に及ぶコードを分析させ、分析結果のみを受領したという。

この分析結果によると、Mythosは5つの「確認済みのセキュリティ脆弱性」を発見。しかし、調査結果を確認したところ、そのうち3件は公式ドキュメントに記載されている既知の問題であり、1件はセキュリティホールではなく単なるバグであることが判明したとされる。結果的に、curlの開発者らが実際の脆弱性であることを確認したのは1件のみ。この脆弱性には低い深刻度スコアが割り当てられており、6月後半にパッチがリリースされる予定だという。

Stenberg氏はこの結果を受け、AIを使用したコード分析ツールが従来のツールと比べてはるかに優秀であることを認めつつも、Mythosはアンソロピックが説明するほど「危険」ではないとの見方を示している。

その後、Stenberg氏のブログ記事はHacker NewsやReddit、LinkedInで広く議論されることに。このうち、Mythosの性能に懐疑的な意見や投稿には以下のようなものがあったとされる。

• 「アンソロピックの主張が正しいならば、Mythosはもっとたくさんの脆弱性を発見できたはずだ」という意見
• 「Mythosが発見したのがcurlに残っていた唯一の脆弱性だったというのは信じがたい（残存するその他の脆弱性をMythosは見つけることができなかったのだろう）」という意見
• Mythosへのアクセス権を与えられている複数の組織の話として、「curlに対するテスト結果と同様の結果しか得られなかった」という声を伝える投稿

一方で、Mythos擁護派の意見や投稿には以下のようなものがあったとのこと。

• 「curlはこれまで厳重に監査され、その他のAIツールなども使用しながらテストされてきたことから、残存している重大な脆弱性を見つけるのは困難だろう」とする意見。
• 「Mythosが限定的な発見しかできなかったという事実は、Mythos自体に欠点があるというより、curlのコードベースの成熟性と強固さを反映している」とする意見