Die SQL-Injection-Lücke in S/4HANA wird unter CVE-2026-34260 geführt und geht laut SAP auf fehlende Eingabeprüfung und ‑bereinigung zurück. Ein authentifizierter Angreifer kann darüber bösartige SQL-Anweisungen einschleusen. Wie Onapsis ausführt, erlaubt der verwundbare Code allerdings nur lesenden Zugriff auf Daten, sodass ein erfolgreicher Angriff ausschließlich die Vertraulichkeit und die Verfügbarkeit der Anwendung beeinträchtigt.
Die zweite kritische Schwachstelle, CVE-2026-34263, betrifft SAP Commerce und besteht in einer fehlenden Authentifizierungsprüfung in der Cloud-Konfiguration. Onapsis beschreibt die Ursache als eine zu freizügige Sicherheitskonfiguration mit fehlerhafter Regelreihenfolge. Dadurch könne ein nicht angemeldeter Nutzer eine manipulierte Konfiguration hochladen und Code einschleusen, was die Ausführung beliebigen serverseitigen Codes ermögliche.
Darüber hinaus behebt SAP eine als hoch eingestufte Schwachstelle in Forecasting & Replenishment. Die unter CVE-2026-34259 geführte Lücke erlaubt das Einschleusen von Betriebssystembefehlen (OS Command Injection); authentifizierte Angreifer können darüber beliebige Betriebssystembefehle ausführen.
Die übrigen 12 Sicherheitshinweise des Mai-Patchdays betreffen Schwachstellen mittleren und niedrigen Schweregrads. Sie verteilen sich auf NetWeaver, S/4HANA, die Business Server Pages Application, BusinessObjects, Strategic Enterprise Management, Commerce Cloud, SAPUI5, Financial Consolidation, Incentive and Commission Management sowie die Deploy-Bibliothek der HANA Deployment Infrastructure (HDI).
SAP erwähnt keine Hinweise darauf, dass eine der Schwachstellen bereits aktiv ausgenutzt wird, empfiehlt Anwendern aber, die Korrekturen so bald wie möglich einzuspielen. Die neuen Sicherheitshinweise erscheinen weniger als zwei Wochen nach dem als Mini Shai-Hulud bezeichneten Lieferkettenangriff, bei dem vier SAP-NPM-Pakete mit Schadsoftware infiziert wurden und mehr als 1.800 Entwickler betroffen waren.