Die zwei kritischen Vulnerabilities in SAP-Produkten stellen für Unternehmen ein erhebliches Risiko dar. Die erste Schwachstelle (CVE-2026-34263) befindet sich in SAP Commerce Cloud, einer E-Commerce-Plattform für große Einzelhandelsketten und globale Marken. Das Problem liegt in einer fehlerhaften Spring-Security-Konfiguration: Unauthentifizierte Angreifer können ohne Legitimation Konfigurationen hochladen und Code injizieren, was zu willkürlicher serverseitiger Code-Ausführung führt. Dies gefährdet Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich.
Die zweite kritische Flaw (CVE-2026-34260) betrifft S/4HANA, SAPs Cloud-basierte ERP-Suite, die das legacy ECC-System ablösen soll. Hier können Angreifer mit grundlegenden Berechtigungen SQL-Injection-Attacken durchführen. Die Anwendung konkateniert Benutzereingaben direkt in SQL-Abfragen, ohne diese zu validieren oder zu bereinigen. Erfolgreiche Exploits ermöglichen unbefugten Zugriff auf sensitive Datenbankdaten und potenzielle Denial-of-Service-Szenarien.
Neben diesen kritischen Flaws behob SAP eine hochgradig gefährliche Schwachstelle sowie 11 mittelschwere Sicherheitsprobleme, darunter Command Injection, fehlende Autorisierungsprüfungen, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) und Denial-of-Service-Attacken.
Obwohl SAP derzeit keine Hinweise auf Ausbeutung im Wilden hat, warnt die CISA: In den letzten Jahren wurden 14 SAP-Schwachstellen in die Known Exploited Vulnerabilities-Liste aufgenommen, zwei davon waren sogar Teil von Ransomware-Kampagnen.
Dies ist nicht das erste Supply-Chain-Problem für SAP: Kürzlich wurden mehrere offizielle npm-Pakete von SAP kompromittiert, um Entwickler-Anmeldedaten zu stehlen.
Für deutsche Unternehmen ist Eile geboten: Das BSI empfiehlt zeitnahe Patches für SAP-Systeme. DSGVO-Verpflichtungen machen schnelle Reaktion essentiell — Datenbreaches durch bekannte Lücken gelten als fahrlässig.