SAP Basis & Security SAP Patch Day Mai 2026

Kritisch (Hot News): SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search für ABAP) Produkt: SAP S/4HANA (SAP Enterprise Search für ABAP), Versionen – SAP_BASIS 751, 752, 753, 754, 755, 756, 757, 758, 816

• Es besteht eine kritische SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search für ABAP), die es einem authentifizierten Angreifer ermöglicht, schädliche SQL-Anweisungen über benutzerkontrollierte Eingaben in das System einzuschleusen. SQL-Injection bezeichnet dabei eine Angriffsmethode, bei der ein Angreifer gezielt manipulierte Datenbankbefehle einschleust, um unerlaubten Zugriff auf Systemdaten zu erlangen.
• Die Schwachstelle gefährdet die Vertraulichkeit und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,6 (kritisch) bewertet. Die Integrität der Daten bleibt dabei unbeeinträchtigt.
• Die betroffene Anwendung verkettet Benutzereingaben direkt in SQL-Abfragen, ohne diese zuvor ausreichend zu prüfen oder zu bereinigen. Ein erfolgreicher Angriff kann dazu führen, dass ein Angreifer unbefugten Zugriff auf vertrauliche Datenbankinformationen erhält oder die Anwendung zum Absturz bringt.
• Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
• Die bereitgestellte Korrektur stellt sicher, dass Benutzereingaben künftig korrekt validiert werden, bevor sie an die Datenbank übergeben werden, und schließt damit die SQL-Injection-Schwachstelle wirksam.
• Mehr dazu finden Sie unter dem Hinweis: 3724838

Kritisch (Hot News): Fehlende Authentifizierungsprüfung in SAP Commerce Cloud Produkt: SAP Commerce Cloud, Versionen – HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21

• Es besteht eine kritische Schwachstelle in der Sicherheitskonfiguration von SAP Commerce Cloud, die es einem nicht authentifizierten Angreifer – also einer Person ohne jegliche Zugangsdaten – ermöglicht, schädliche Eingaben in das System einzuschleusen und dadurch beliebigen Code auf dem Server auszuführen.
• Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,6 (kritisch) bewertet.
• Ursache der Schwachstelle ist eine fehlerhafte Spring-Security-Konfiguration mit einer falschen Regelreihenfolge, die den Zugriff auf sensible interne Funktionen ohne vorherige Authentifizierung ermöglicht. Werden diese Funktionen von einem legitimen Benutzer verarbeitet, können eingeschleuste schädliche Eingaben zur vollständigen Übernahme des Systems führen.
• Für diese Sicherheitslücke steht eine Behelfslösung zur Verfügung. SAP empfiehlt jedoch dringend, vorrangig die bereitgestellten Korrekturen einzuspielen. Ausführliche Informationen zur Schwachstelle und den erforderlichen Maßnahmen entnehmen Sie bitte dem FAQ-Dokument: 3746113.
• Die bereitgestellte Korrektur schränkt den Zugriff auf die betroffenen internen Funktionen standardmäßig ein und verhindert damit den nicht authentifizierten Zugriff wirksam. Die Korrekturen sind in den folgenden SAP Commerce Cloud Patch-Releases verfügbar: 2205.49, 2211.51 sowie 2211-jdk21.10.
• Am 15. Mai 2026 wurde dieser Hinweis mit aktualisierten Textänderungen in den Abschnitten „Symptom", „Weitere Begriffe", „Lösung" und „Behelfslösung" neu veröffentlicht.
• Mehr dazu finden Sie unter dem Hinweis: 3733064

Hoch: OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment Produkt: SAP Forecasting and Replenishment, Versionen – SCM 702, 712, 713, 714

• Es besteht eine schwerwiegende OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment, die es einem authentifizierten Angreifer mit Administrationsberechtigungen ermöglicht, beliebige Betriebssystembefehle auf dem betroffenen System auszuführen. OS-Command-Injection bezeichnet dabei eine Angriffsmethode, bei der ein Angreifer gezielt schädliche Systembefehle einschleust und über die Anwendung auf dem Betriebssystem ausführt.
• Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 8,2 (hoch) bewertet.
• Der Angriff setzt lokalen Zugriff sowie Administrationsrechte voraus und ist nicht über das Netzwerk aus der Ferne ausführbar. Bei erfolgreicher Ausnutzung kann ein Angreifer Systemdaten lesen oder verändern sowie das System vollständig zum Stillstand bringen. Die Schwachstelle entsteht durch unzureichend geprüfte Betriebssystembefehle, die über Eingabeparameter eines Funktionsbausteins sowie Eingaben aus einer vorgelagerten Komponente ausgeführt werden können.
• Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
• Die bereitgestellte Korrektur behebt die Schwachstelle durch die Implementierung zusätzlicher Berechtigungsprüfungen sowie eine gezielte Validierung der ausgeführten Betriebssystembefehle.
• Mehr dazu finden Sie unter dem Hinweis: 3732471

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day Mai  2026 und weiteren Sicherheitshinweisen finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.