Son Dakika
CNUS Launches New Strikes on Iran After Strait of Hormuz AttacksKR임실 호우주의보 발효…전주 등 15곳 특보 유지ARالجيش الأمريكي يشن ضربات جديدة ضد إيران لتقويض قدرتها على تعطيل الملاحة في مضيق هرمزGLOBALTrump to Seek Supreme Court Rehearing on Birthright CitizenshipARمسؤول أمريكي: الوضع مع إيران لا يزال متقلبًا للغاية وقد تُشنّ المزيد من الضرباتTRİran'dan ABD'ye Sert Yanıt: "Ezici Karşılık Vereceğiz"BRMédico é preso em flagrante por importunação sexual durante consulta em SalvadorKR전북 강한 장맛비…토사 유출 등 26건 피해 접수BRHospital Santa Casa de Itapeva atinge 95% de ocupação e pede colaboração da populaçãoKR북한, 한일 국방 교류 강화에 "멸망 자초하는 망동"CNUS Launches New Strikes on Iran After Strait of Hormuz AttacksKR임실 호우주의보 발효…전주 등 15곳 특보 유지ARالجيش الأمريكي يشن ضربات جديدة ضد إيران لتقويض قدرتها على تعطيل الملاحة في مضيق هرمزGLOBALTrump to Seek Supreme Court Rehearing on Birthright CitizenshipARمسؤول أمريكي: الوضع مع إيران لا يزال متقلبًا للغاية وقد تُشنّ المزيد من الضرباتTRİran'dan ABD'ye Sert Yanıt: "Ezici Karşılık Vereceğiz"BRMédico é preso em flagrante por importunação sexual durante consulta em SalvadorKR전북 강한 장맛비…토사 유출 등 26건 피해 접수BRHospital Santa Casa de Itapeva atinge 95% de ocupação e pede colaboração da populaçãoKR북한, 한일 국방 교류 강화에 "멸망 자초하는 망동"
Newsgather
GeriSAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht
Acil
Heise Online12.05.2026Teknoloji1 dk okumaGermany

SAP-Patchday im Mai: 15 neue Sicherheitsnotizen veröffentlicht

Zwei als kritisch eingestufte Schwachstellen ermöglichen SQL-Injection und Code-Ausführung

Hızlı Bakış

SAP hat zum Mai-Patchday 15 Sicherheitslücken geschlossen, darunter zwei kritische Schwachstellen in SAP S/4HANA und SAP Commerce Cloud, die Angreifern den Zugriff auf Datenbanken oder die Ausführung von Schadcode ermöglichen.

Yapay zekâ özeti

Neden Önemli?

SAP veröffentlicht regelmäßig monatliche Sicherheitsupdates, sogenannte Patchdays, um bekannte Schwachstellen in ihren Softwareprodukten zu beheben.

Yazı boyutu

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen: SAP NetWeaver Application Server for ABAP and ABAP Platform, SAP S/4HANA Condition Maintenance, Business Server Pages Application (TAF_APPLAUNCHER), SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), SAP Commerce Cloud (Apache Log4j), SAPUI5 (Search UI), SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), SAP Financial Consolidation, SAP Incentive and Commission Management sowie SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

Bundan Sonra Ne Olabilir?

Yapay zekâ öngörüsü — kesinlik taşımaz

  • IT-Verantwortliche werden in den kommenden Tagen verstärkt Sicherheitsupdates für SAP-Systeme einspielen.

    Çok muhtemel · Günler içinde

Açık Sorular

  • Gibt es bereits Berichte über die aktive Ausnutzung dieser Schwachstellen in der Praxis?

İlgili Konular

Bu haber ilk olarak şurada yayınlandı: Heise Online.

İlgili Haberler

Bu konuda daha fazlasap