top of page
Suche

SAP Security Patch Day - Mai 2026: Kritische Schwachstellen und Handlungsempfehlungen

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • 12. Mai
  • 3 Min. Lesezeit

Der SAP Security Patch Day im Mai 2026 bringt mehrere sicherheitsrelevante Schwachstellen mit teils kritischen Auswirkungen mit sich. Besonders kritisch sind zwei Schwachstellen mit einem CVSS-Score von 9,6, die unter bestimmten Voraussetzungen zu Codeausführung, SQL-Injection oder massiven Auswirkungen auf Vertraulichkeit und Verfügbarkeit führen können. Unternehmen sollten die veröffentlichten SAP Security Notes daher zeitnah bewerten, priorisieren und in ihre Patch-Planung aufnehmen.


In diesem Beitrag geben wir wie immer einen Überblick über die relevantesten Schwachstellen (CVSS-Score >7,0) inklusive konkreter Handlungsempfehlungen.


SAP Security Patch Day Mai
Kategorisierung und Verteilung der Schwachstellen

Kritische Schwachstellen im Mai 2026


1. CVE-2026-34263 – Fehlende Authentifizierungsprüfung in SAP Commerce Cloud (3733064)

  • CVSS-Score: 9,6 – Sehr hohe Priorität 

  • Beschreibung: Aufgrund einer fehlerhaften Spring-Security-Konfiguration ermöglicht SAP Commerce Cloud einem nicht authentifizierten Angreifer, einen schädlichen Konfigurations-Upload durchzuführen und darüber Code-Injection auszulösen. Dies kann zur Ausführung beliebigen Codes auf dem Server führen und Vertraulichkeit, Integrität und Verfügbarkeit erheblich beeinträchtigen.


  • Lösung:

    • SAP Commerce Cloud umgehend auf die bereitgestellten Patch-Releases aktualisieren

    • Betroffene Versionen auf 2205.49, 2211.51 oder 2211-jdk21.10 patchen

    • Backoffice- und Konfigurations-Upload-Endpunkte überprüfen

    • Spring-Security-Konfigurationen und Custom Extensions auditieren

    • FAQ-Hinweis 3746113 berücksichtigen



2. CVE-2026-34260 – SQL-Injection in SAP S/4HANA Enterprise Search für ABAP (3724838)

  • CVSS-Score: 9,6 – Sehr hohe Priorität 

  • Beschreibung: SAP S/4HANA enthält in der Enterprise Search für ABAP eine SQL-Injection-Schwachstelle. Ein authentifizierter Angreifer kann manipulierte SQL-Anweisungen über benutzergesteuerte Eingaben einschleusen. Dadurch können vertrauliche Datenbankinformationen ausgelesen werden, zusätzlich kann die Anwendung abstürzen. Die Schwachstelle hat erhebliche Auswirkungen auf Vertraulichkeit und Verfügbarkeit.

  • Lösung: 

    • SAP-Hinweis zeitnah einspielen

    • Support Packages oder Korrekturanleitungen gemäß SAP-Vorgabe implementieren

    • Enterprise-Search-Funktionen und exponierte Suchendpunkte prüfen

    • Eingabevalidierung in kundeneigenen Erweiterungen kontrollieren

    • FAQ-Hinweis 3747935 bei Rückfragen berücksichtigen



3. CVE-2026-34259 – OS-Command-Injection in SAP Forecasting and Replenishment (3732471)

  • CVSS-Score: 8,2 – Hohe Priorität 

  • Beschreibung: In SAP Forecasting and Replenishment kann ein authentifizierter Angreifer mit Administrationsberechtigungen eine nicht remote-fähige Funktion missbrauchen, um beliebige Betriebssystembefehle auszuführen. Eine erfolgreiche Ausnutzung kann dazu führen, dass Systemdaten gelesen oder verändert werden oder das System heruntergefahren wird.

  • Lösung: 

    • Korrekturanleitungen oder Support Packages aus SAP-Hinweis einspielen

    • Administrative Berechtigungen restriktiv vergeben und regelmäßig prüfen

    • Funktionsbausteine mit Betriebssystembezug besonders absichern

    • Batch- und OS-Kommandos überwachen

    • Custom Code auf ähnliche Command-Injection-Muster prüfen



SAP Security Updates

Handlungsempfehlungen 


Um SAP-Systeme bestmöglich gegen Angriffe abzusichern, sollten Unternehmen die folgenden Maßnahmen zeitnah umsetzen:


  1. HotNews- und High-Priority-Hinweise priorisiert einspielen

  2. Kernel-Updates einplanen 

  3. Testumgebungen nutzen, bevor Updates in produktiven Systemen eingespielt werden

  4. Patch-Management als festen Prozess etablieren

  5. Überwachungstools einsetzen, um Schwachstellen in Echtzeit zu erkennen

  6. Regelmäßige Security-Checks, um auch abseits der Patchdays sicherheitsrelevante Risiken zu identifizieren



Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt


Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


✅ Regelmäßige Sicherheits-Checks:

Proaktive Überwachung und Analyse potenzieller Bedrohungen


Patch-Management:

Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates --> siehe Managed SAP Security Notes Service


Schwachstellen-Scans:

Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge


Risikominimierung:

Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im Mai


Der SAP Security Patch Day Mai 2026 zeigt, dass auch wenige Notes ein hohes Risiko für SAP-Landschaften bedeuten können. Besonders die Schwachstellen in SAP Commerce Cloud und SAP S/4HANA Enterprise Search sollten aufgrund ihres CVSS-Scores von 9,6 kurzfristig priorisiert werden.


Unternehmen sollten die Hinweise zeitnah umsetzen, relevante Berechtigungen und Endpunkte überprüfen und zusätzliche Schutzmaßnahmen für Custom Extensions, Suchfunktionen und administrative Schnittstellen etablieren.


Ansonsten wie immer: Bleibt wachsam und up-to-date!

Kommentare

bottom of page