SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
Zwei als kritisch eingestufte Schwachstellen ermöglichen SQL-Injection und Code-Ausführung
Auf einen Blick
SAP hat zum Mai-Patchday 15 Sicherheitslücken geschlossen, darunter zwei kritische Schwachstellen in SAP S/4HANA und SAP Commerce Cloud, die Angreifern den Zugriff auf Datenbanken oder die Ausführung von Schadcode ermöglichen.
KI-generierte Zusammenfassung
Warum es wichtig ist
SAP veröffentlicht regelmäßig monatliche Sicherheitsupdates, sogenannte Patchdays, um bekannte Schwachstellen in ihren Softwareprodukten zu beheben.
Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.
Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).
In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen: SAP NetWeaver Application Server for ABAP and ABAP Platform, SAP S/4HANA Condition Maintenance, Business Server Pages Application (TAF_APPLAUNCHER), SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), SAP Commerce Cloud (Apache Log4j), SAPUI5 (Search UI), SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), SAP Financial Consolidation, SAP Incentive and Commission Management sowie SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.
Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.
Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.
Worauf zu achten ist
KI-Ausblick — Möglichkeiten, keine Fakten
IT-Verantwortliche werden in den kommenden Tagen verstärkt Sicherheitsupdates für SAP-Systeme einspielen.
Sehr wahrscheinlich · Innerhalb von Tagen
Offene Fragen
- Gibt es bereits Berichte über die aktive Ausnutzung dieser Schwachstellen in der Praxis?






