Newsgather
BackSAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
Dringend
Heise Online12.05.2026Technik1 dk okumaGermany

SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht

Zwei als kritisch eingestufte Schwachstellen ermöglichen SQL-Injection und Code-Ausführung

Auf einen Blick

SAP hat zum Mai-Patchday 15 Sicherheitslücken geschlossen, darunter zwei kritische Schwachstellen in SAP S/4HANA und SAP Commerce Cloud, die Angreifern den Zugriff auf Datenbanken oder die Ausführung von Schadcode ermöglichen.

KI-generierte Zusammenfassung

Warum es wichtig ist

SAP veröffentlicht regelmäßig monatliche Sicherheitsupdates, sogenannte Patchdays, um bekannte Schwachstellen in ihren Softwareprodukten zu beheben.

Schriftgröße

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen: SAP NetWeaver Application Server for ABAP and ABAP Platform, SAP S/4HANA Condition Maintenance, Business Server Pages Application (TAF_APPLAUNCHER), SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), SAP Commerce Cloud (Apache Log4j), SAPUI5 (Search UI), SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), SAP Financial Consolidation, SAP Incentive and Commission Management sowie SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

Worauf zu achten ist

KI-Ausblick — Möglichkeiten, keine Fakten

  • IT-Verantwortliche werden in den kommenden Tagen verstärkt Sicherheitsupdates für SAP-Systeme einspielen.

    Sehr wahrscheinlich · Innerhalb von Tagen

Offene Fragen

  • Gibt es bereits Berichte über die aktive Ausnutzung dieser Schwachstellen in der Praxis?

Verwandte Themen

This article was originally published by Heise Online.

Ähnliche Meldungen

Mehr zu diesem Themasap