Última hora
FRAvion-cargo pakistanais perd le contact après un problème de navigationFRTensions between the US and Iran escalate over Strait of Hormuz attacksFRVenezuela: L'aéroport principal rouvrira bientôt aux vols commerciauxFRL'Argentine se qualifie pour les quarts de finale de la Coupe du monde dans un match renversantFRPrésomption d'usage légitime des armes : le texte adopté en première lecture à l'AssembléeFRAccusations de violences sexuelles : l'archevêque de Rabat se met en retraitFRLa Suisse bat la Colombie aux tirs au but et file en quartsFRL'Assemblée nationale adopte le projet de loi sur la justice criminelle grâce aux voix du RNFRSuisse-Colombie : un match nul décevant qui mène à la prolongationFRColombie-Britannique poursuit OpenAI pour son rôle dans la tuerie de Tumbler RidgeFRAvion-cargo pakistanais perd le contact après un problème de navigationFRTensions between the US and Iran escalate over Strait of Hormuz attacksFRVenezuela: L'aéroport principal rouvrira bientôt aux vols commerciauxFRL'Argentine se qualifie pour les quarts de finale de la Coupe du monde dans un match renversantFRPrésomption d'usage légitime des armes : le texte adopté en première lecture à l'AssembléeFRAccusations de violences sexuelles : l'archevêque de Rabat se met en retraitFRLa Suisse bat la Colombie aux tirs au but et file en quartsFRL'Assemblée nationale adopte le projet de loi sur la justice criminelle grâce aux voix du RNFRSuisse-Colombie : un match nul décevant qui mène à la prolongationFRColombie-Britannique poursuit OpenAI pour son rôle dans la tuerie de Tumbler Ridge
Newsgather
BackSAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
Urgente
Heise Online12.05.2026Tecnología1 dk okumaGermany

SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht

Zwei als kritisch eingestufte Schwachstellen ermöglichen SQL-Injection und Code-Ausführung

En resumen

SAP hat zum Mai-Patchday 15 Sicherheitslücken geschlossen, darunter zwei kritische Schwachstellen in SAP S/4HANA und SAP Commerce Cloud, die Angreifern den Zugriff auf Datenbanken oder die Ausführung von Schadcode ermöglichen.

Resumen generado por IA

Por qué importa

SAP veröffentlicht regelmäßig monatliche Sicherheitsupdates, sogenannte Patchdays, um bekannte Schwachstellen in ihren Softwareprodukten zu beheben.

Tamaño de fuente

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen: SAP NetWeaver Application Server for ABAP and ABAP Platform, SAP S/4HANA Condition Maintenance, Business Server Pages Application (TAF_APPLAUNCHER), SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), SAP Commerce Cloud (Apache Log4j), SAPUI5 (Search UI), SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), SAP Financial Consolidation, SAP Incentive and Commission Management sowie SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

Qué observar

Perspectiva de IA — posibilidades, no hechos

  • IT-Verantwortliche werden in den kommenden Tagen verstärkt Sicherheitsupdates für SAP-Systeme einspielen.

    Muy probable · En días

Preguntas abiertas

  • Gibt es bereits Berichte über die aktive Ausnutzung dieser Schwachstellen in der Praxis?

Temas relacionados

This article was originally published by Heise Online.

Noticias relacionadas

Más sobre este temasap