SAP® Security News - 05/2026

Relevante Sicherheitsmeldungen und CVSS‑Bewertungen im Überblick

Im Rahmen des SAP Patchday vom Mai 2026 wurden mehrere sicherheitsrelevante Schwachstellen veröffentlicht, die Auswirkungen auf unterschiedliche SAP‑Komponenten haben können. Dieser Beitrag fasst die wichtigsten Meldungen kompakt zusammen und bewertet deren Relevanz für Ihre SAP‑Systemlandschaft.

Die Einordnung erfolgt auf Basis des CVSS‑Scores (Common Vulnerability Scoring System). Besondere Aufmerksamkeit sollten Hinweise mit einem CVSS‑Wert über 7 erhalten, da diese ein erhöhtes Sicherheitsrisiko darstellen.

Kritische Meldungen (CVSS ≥ 7,0):

• (CVSS 9,6) CEC-SCC-CDM-BO-APP

  Hinweisnummer: 3733064

  Titel: [CVE-2026-34263] Fehlende Authentifizierungsprüfung in SAP-Commerce-Cloud-Konfiguration

  Beschreibung: Aufgrund einer fehlerhaften Konfiguration von Spring Security ermöglicht SAP Commerce Cloud einem nicht authentifizierten Benutzer, einen schädlichen Konfigurations-Upload und eine Code-Injection durchzuführen. Dies führt zur Ausführung von beliebigem Code auf dem Server, was beträchtliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.

• (CVSS 9,6) BC-EIM-ESH

  Hinweisnummer: 3724838

  Titel: [CVE-2026-34260] SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search für ABAP)

  Beschreibung: SAP S/4HANA (SAP Enterprise Search für ABAP) enthält eine SQL-Injection-Schwachstelle, die es einem authentifizierten Angreifer ermöglicht, schädliche SQL-Anweisungen über benutzergesteuerte Eingaben einzuschleusen. Die Anwendung verkettet diese schädlichen Angreifereingaben direkt in SQL-Abfragen, die dann ohne ordnungsgemäße Validierung oder Sanitization an die zugrunde liegende Datenbank übergeben werden. Nach erfolgreicher Ausnutzung der Schwachstelle kann ein Angreifer unberechtigten Zugriff auf vertrauliche Datenbankinformationen erhalten und die Anwendung möglicherweise abstürzen lassen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit und Verfügbarkeit der Anwendung, während die Integrität nicht beeinträchtigt wird.

• (CVSS 8,2) SCM-FRE-FRP

  Hinweisnummer: 3732471

  Titel: [CVE-2026-34259] OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment

  Beschreibung: Aufgrund einer Schwachstelle bei der BS-Befehlsausführung in SAP Forecasting and Replenishment kann ein authentifizierter Angreifer mit Administrationsberechtigungen eine nicht remote-fähige Funktion missbräuchlich verwenden, um beliebige Betriebssystembefehle auszuführen. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, Systemdaten zu lesen oder zu ändern oder das System herunterzufahren, was zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit führen würde.

Eine zeitnahe Bewertung und priorisierte Umsetzung der Patches ist empfehlenswert, um potenzielle Sicherheitsrisiken zu minimieren.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie ganz unkompliziert einen Termin oder kontaktieren Sie uns per Mail oder telefonisch.

Folgen Sie uns gerne auf LinkedIn und melden sich zu unserem monatlichen Patchday-Newsletter an - so verpassen Sie garantiert keine wichtigen Updates mehr!