Dernière minute
RUЗдание в Манхэттене эвакуировали из-за угрозы обрушенияINTLColombia's President-elect Suspends Transition, Cites Coup Attempt by PetroARمونديال 2026: الأرجنتين تواجه مصر وسويسرا تواجه كولومبيا في مواجهات حاسمةCRYPTO-FRErreur de routage sur un DEX : Un trader perd 2 millions de dollars en ETHTRSamsung'dan Giriş Seviyesi Telefonlara Zam GeldiARغرامات وسوار إلكتروني.. ولوبان تعلن استمرارها في الترشح للانتخابات الرئاسية 2027EUMarine Le Pen's Legal Win Boosts Her Political Survival, But Challenges RemainRURussia: Western arms supplies, advisors, and intel make it a direct warRUPoland transfers $4.5 billion in weapons to Ukraine since 2022, top defense official confirmsINTLMarine Le Pen to Run for French Presidency After Graft Conviction AppealRUЗдание в Манхэттене эвакуировали из-за угрозы обрушенияINTLColombia's President-elect Suspends Transition, Cites Coup Attempt by PetroARمونديال 2026: الأرجنتين تواجه مصر وسويسرا تواجه كولومبيا في مواجهات حاسمةCRYPTO-FRErreur de routage sur un DEX : Un trader perd 2 millions de dollars en ETHTRSamsung'dan Giriş Seviyesi Telefonlara Zam GeldiARغرامات وسوار إلكتروني.. ولوبان تعلن استمرارها في الترشح للانتخابات الرئاسية 2027EUMarine Le Pen's Legal Win Boosts Her Political Survival, But Challenges RemainRURussia: Western arms supplies, advisors, and intel make it a direct warRUPoland transfers $4.5 billion in weapons to Ukraine since 2022, top defense official confirmsINTLMarine Le Pen to Run for French Presidency After Graft Conviction Appeal
Newsgather
BackSAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
Urgent
Heise Online12.05.2026Tech1 dk okumaGermany

SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht

Zwei als kritisch eingestufte Schwachstellen ermöglichen SQL-Injection und Code-Ausführung

L'essentiel

SAP hat zum Mai-Patchday 15 Sicherheitslücken geschlossen, darunter zwei kritische Schwachstellen in SAP S/4HANA und SAP Commerce Cloud, die Angreifern den Zugriff auf Datenbanken oder die Ausführung von Schadcode ermöglichen.

Résumé généré par IA

Pourquoi c'est important

SAP veröffentlicht regelmäßig monatliche Sicherheitsupdates, sogenannte Patchdays, um bekannte Schwachstellen in ihren Softwareprodukten zu beheben.

Taille de police

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen: SAP NetWeaver Application Server for ABAP and ABAP Platform, SAP S/4HANA Condition Maintenance, Business Server Pages Application (TAF_APPLAUNCHER), SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), SAP Commerce Cloud (Apache Log4j), SAPUI5 (Search UI), SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), SAP Financial Consolidation, SAP Incentive and Commission Management sowie SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • IT-Verantwortliche werden in den kommenden Tagen verstärkt Sicherheitsupdates für SAP-Systeme einspielen.

    Très probable · En quelques jours

Questions ouvertes

  • Gibt es bereits Berichte über die aktive Ausnutzung dieser Schwachstellen in der Praxis?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetsap