Datenschutz & Sicherheit

SAP-Patchday: Kritische Sicherheitslücken erlauben unbefugte Anmeldung


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Weiterlesen nach der Anzeige

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

SAP-Patchday: 15 Sicherheitsnotizen

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen:

  • SAP NetWeaver Application Server for ABAP and ABAP Platform,
  • SAP S/4HANA Condition Maintenance,
  • Business Server Pages Application (TAF_APPLAUNCHER),
  • SAP BusinessObjects Business Intelligence Platform,
  • SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard),
  • SAP Commerce Cloud (Apache Log4j),
  • SAPUI5 (Search UI),
  • SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages),
  • SAP Financial Consolidation,
  • SAP Incentive and Commission Management sowie
  • SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

Weiterlesen nach der Anzeige


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen