SAP schließt kritische Lücken in Commerce Cloud und S/4HANA

Zusammenfassung

SAP hat seine Sicherheitsupdates für Mai 2026 veröffentlicht und schließt damit insgesamt 15 Schwachstellen in mehreren Produkten. Im Mittelpunkt stehen zwei als kritisch eingestufte Lücken in SAP Commerce Cloud und S/4HANA. Bei Commerce Cloud handelt es sich um eine E-Commerce-Plattform für Unternehmen, die von Online-Shops großer Einzelhändler und globaler Marken genutzt wird. S/4HANA ist eine cloudbasierte ERP-Suite (Enterprise Resource Planning), die das bisherige On-Premises-System ECC ablösen soll. Die gravierendere der beiden Lücken trägt die Kennung CVE-2026-34263 und betrifft Commerce Cloud: Eine fehlende Authentifizierungsprüfung erlaubt es nicht authentifizierten Angreifern, Code auf verwundbaren Servern auszuführen. Die zweite kritische Schwachstelle (CVE-2026-34260) ermöglicht es Angreifern mit einfachen Berechtigungen, in wenig komplexen Angriffen schädliche SQL-Anweisungen einzuschleusen. Nach Angaben von SAP gibt es bislang keine Hinweise darauf, dass eine der nun gepatchten Lücken bereits in freier Wildbahn ausgenutzt wurde.

Die schwerwiegendste Lücke betrifft SAP Commerce Cloud und wird unter CVE-2026-34263 geführt. Ursache ist laut SAP eine fehlerhafte Spring-Security-Konfiguration. Sie erlaubt es einem nicht authentifizierten Nutzer, eine manipulierte Konfiguration hochzuladen und Code einzuschleusen. Im Ergebnis lasse sich beliebiger Code serverseitig ausführen, was sich erheblich auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirke.

Die zweite kritische Schwachstelle, CVE-2026-34260, ist eine SQL-Injection-Lücke, die sich mit geringem Aufwand und nur einfachen Berechtigungen ausnutzen lässt. Nach Darstellung von SAP fügt die Anwendung schädliche Benutzereingaben direkt in SQL-Abfragen ein, die anschließend ohne ausreichende Prüfung oder Bereinigung an die Datenbank weitergereicht werden. Im Erfolgsfall könne ein Angreifer unbefugt auf sensible Datenbankinhalte zugreifen und die Anwendung womöglich zum Absturz bringen. Betroffen seien Vertraulichkeit und Verfügbarkeit, während die Integrität unberührt bleibe.

Neben den beiden kritischen Lücken nennt der Sicherheitshinweis für Mai 2026 eine weitere hochgradig eingestufte Schwachstelle sowie elf Probleme mittleren Schweregrads. Dazu zählen unter anderem Command Injection, fehlende Berechtigungsprüfungen, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF) und Denial-of-Service.

SAP hat nach eigenen Angaben keine Belege dafür gefunden, dass die nun behobenen Schwachstellen bereits ausgenutzt wurden. Die US-Behörde CISA hat in den vergangenen Jahren jedoch 14 SAP-Schwachstellen in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen, darunter zwei, die in Ransomware-Angriffen missbraucht wurden. Zuletzt wurden mehrere offizielle SAP-npm-Pakete im Rahmen eines Supply-Chain-Angriffs kompromittiert, der darauf abzielte, Zugangsdaten und Authentifizierungstoken von Entwicklersystemen abzugreifen.

Als weltweit größter Anbieter von Unternehmenssoftware zählt der deutsche Konzern nach eigenen Angaben 99 der 100 größten Unternehmen weltweit zu seinen Kunden und wies für das Geschäftsjahr 2025 einen Gesamtumsatz von mehr als 36 Milliarden Euro aus.

SAP schließt kritische Lücken in Commerce Cloud und S/4HANA

Ähnliche Artikel

Neueste Artikel