SchwachstellenCybersicherheitCloud-Sicherheit

SAP stopft kritische Lücken in S/4HANA und Commerce – Patches sofort empfohlen

Von CyberDeutsch Redaktion
SAP stopft kritische Lücken in S/4HANA und Commerce – Patches sofort empfohlen
Zusammenfassung

SAP hat im Mai 2026 eine neue Runde von Sicherheitspatches veröffentlicht, die mehrere kritische Sicherheitslücken in seinen Kernprodukten schließen. Das Softwareunternehmen behob 15 Schwachstellen, darunter zwei kritische Code-Injection-Vulnerabilities mit dem höchsten Schweregrad (CVSS 9.6) in S/4HANA und SAP Commerce. Die SQL-Injection-Lücke CVE-2026-34260 in S/4HANA könnte es authentifizierten Angreifern ermöglichen, Datenbestände auszulesen, während die Authentifizierungslücke CVE-2026-34263 in Commerce es sogar unauthentifizierten Nutzern erlaubt, schadhafte Code-Injektionen durchzuführen und beliebigen Server-Code auszuführen. Für deutsche Unternehmen, insbesondere im Mittelstand und in der Industrie, die SAP-Systeme für ihre kritischen Geschäftsprozesse einsetzen, stellt dies ein erhebliches Risiko dar. Da diese Lücken es Angreifern ermöglichen, sensible Daten zu stehlen oder die Systeme zu übernehmen, sollten betroffene Organisationen die Patches unverzüglich einspielen. Der Patch-Vorfall unterstreicht auch die zunehmende Anfälligkeit von Enterprise-Software-Lieferketten, besonders nach dem kürzlich entdeckten Mini-Shai-Hulud-Anschlag auf SAP-NPM-Pakete.

Die aktuellen Patches adressieren Schwachstellen, die das Potenzial für ernsthafte Sicherheitsbrüche bergen. Die erste kritische Lücke ist als CVE-2026-34260 katalogisiert und betrifft S/4HANA. Laut dem Sicherheitsexperten Onapsis handelt es sich um eine SQL-Injection-Schwachstelle, die durch fehlende Eingabevalidierung und Sanitization entstanden ist. Ein authentifizierter Angreifer könnte bösartige SQL-Befehle einschleusen und Datenbankzugriffe erlangen. Während die Sicherheitsfirma betont, dass die vulnerable Code-Stelle nur Lesezugriff ermöglicht, beeinträchtigt ein erfolgreicher Angriff dennoch die Vertraulichkeit und Verfügbarkeit der Anwendung erheblich.

Yet deutlich kritischer ist CVE-2026-34263 in SAP Commerce. Hier liegt eine fehlende Authentifizierungsprüfung in der Cloud-Konfiguration vor. Die Verwundbarkeit entsteht durch eine zu permissive Sicherheitskonfiguration mit fehlerhafter Regelpriorisierung – ein unauthentifizierter Angreifer könnte bösartige Konfigurationen hochladen und Code injizieren, was zu willkürlicher Server-seitiger Code-Ausführung führt. Dies ist besonders gefährlich für E-Commerce-Plattformen und SaaS-Deployments.

Neben diesen beiden kritischen Fällen hat SAP auch eine High-Severity-Lücke in Forecasting & Replenishment (CVE-2026-34259) behoben – eine OS-Command-Injection, die authentifizierten Angreifern die Ausführung willkürlicher Betriebssystem-Befehle ermöglicht. Die restlichen 12 Patches behandeln mittel- und geringgradige Schwachstellen in NetWeaver, Business Server Pages, BusinessObjects und anderen Komponenten.

Bisher gibt es keine Hinweise auf aktive Ausbeutung dieser Lücken. Dennoch rät SAP eindringlich, die Patches so schnell wie möglich einzuspielen. Dies erfolgt vor dem Hintergrund der Mini-Shai-Hulud-Supply-Chain-Attack, bei der vier SAP-NPM-Pakete mit Malware infiziert wurden und über 1.800 Entwickler betroffen waren. Für deutsche Unternehmen bedeutet dies doppelte Wachsamkeit: Sie sollten nicht nur ihre SAP-Systeme aktualisieren, sondern auch ihre Entwicklungsprozesse überprüfen.

Ähnliche Artikel