S/4HANA Suche ist zu offen | SAP Security Patchday Mai 2026

Autor: Tobias Harmes | 15. Mai 2026

1 | #SAP Security Patch Day

Der SAP Security Patchday im April war am 12.05.2026. Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday aktuelle SAP Security Notes. Dieses Mal sind es 15 neue Security-Hinweise. Mit dabei: Normale Benutzer können mit SQL-Injections einer S/4HANA-Datenbank zu Leibe rücken.

Der Mai 2026 hat zwei Hinweise mit der Einstufung „CRITICAL“ (auch als „Hot News“ bekannt) für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

  1. https://me.sap.com/securitynotes aufrufen (S-User erforderlich)
  2. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
  3. Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind.

SAP Security Patchday | SAP for ME

SQL Injection in SAP S/4HANA: Suche mit Datenbank-Durchgriff

Der Hinweis 3724838 – [CVE-2026-34260] SQL injection vulnerability in SAP S/4HANA betrifft die Enterprise Search for ABAP. Die Anwendung übernimmt benutzergesteuerte Eingaben in SQL-Abfragen und reicht sie ohne ausreichende Validierung bzw. Bereinigung an die Datenbank weiter. Ein authentifizierter Angreifer mit geringen Berechtigungen kann dadurch manipulierte SQL-Statements einschleusen, sensible Datenbankinformationen auslesen und im schlimmsten Fall die Datenbank zum Absturz bringen.

SAP bewertet die Lücke mit CVSS 9.6/10 (Critical). Einen Workaround gibt es nicht. Abhilfe schaffen nur die im Hinweis genannten Support Packages, Patches bzw. Korrekturanleitungen. Details: https://me.sap.com/notes/3724838/E

SAP Commerce Cloud: Konfigurations-Upload ohne saubere Authentifizierung

Der Hinweis 3733064 – [CVE-2026-34263] Missing authentication check in SAP Commerce Cloud configuration ist für Commerce-Landschaften unangenehm, weil hier eine fehlerhafte Spring-Security-Konfiguration den Zugriff auf sensible Funktionalität erlaubt. Laut SAP kann ein nicht authentifizierter Benutzer einen bösartigen Konfigurations-Upload und Code Injection auslösen.

SAP bewertet das mit CVSS 9.6/10 (Critical). Die Korrektur besteht darin, die Konfigurations-Upload-Funktionalität standardmäßig zu deaktivieren. Einen Workaround gibt es nicht. Details: https://me.sap.com/notes/3733064/E

SAP Forecasting & Replenishment: OS Commands für Admins mit Nebenwirkung

Weiter geht es mit Hinweis 3732471 – [CVE-2026-34259] OS Command Injection Vulnerability in SAP Forecasting & Replenishment. Hier können authentifizierte Angreifer mit administrativen Berechtigungen über eine nicht remote-fähige Funktion Betriebssystembefehle ausführen. Die Ursache liegt in OS-Kommandos, die über Funktionsbaustein-Parameter und Eingaben aus einer vorgelagerten Komponente verarbeitet werden. Bei erfolgreicher Ausnutzung kann ein Angreifer Systemdaten lesen oder verändern oder das System herunterfahren.

SAP bewertet die Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit jeweils als hoch, der Score liegt bei CVSS 8.2/10 (High). Die Korrektur ergänzt Berechtigungsprüfungen und eine Prüfung der OS-Kommandos. Ein Workaround ist nicht verfügbar. Details: https://me.sap.com/notes/3732471/E

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.

Demnächst…

20.05.2026 | Live-Webinar „NIS-2, DORA, CRA & Co.: Anforderungen in IT und SAP technisch umsetzen“
NIS-2, DORA, CRA und weitere Regulierungen bringen unterschiedliche Namen, aber oft sehr ähnliche technische Anforderungen mit. Im Webinar zeigen wir, wie sich diese Vorgaben sinnvoll zusammenführen und mit praxistauglichen Maßnahmen wie MFA, Identity Access Management und Verschlüsselung umsetzen lassen. Dafür stellt unser Partner Pointsharp passende Tools für die technische Umsetzung vor, ergänzt um Praxisbeispiele, auch mit Blick auf SAP.
Mehr Information und Anmeldung


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

S/4HANA, CRM und ABAP | SAP Security Patchday Februar 2026

SAP Security Patchday
Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday aktuelle SAP Security Notes. Diesmal sind es gleich 26 neue Security-Hinweise.
#SAP Security Patch Day
Artikel lesen
SAP Security

Java Portal und ein wenig Log4j l | SAP Security Patchday März 2026

Der SAP Security Patchday im März war am 10.03.2026. Diesmal gibt es 15 neue Security-Hinweise, keine Updates.
#SAP Security Patch Day
Artikel lesen
SAP Security

Benutzer können SAP BW manipulieren | SAP Security Patchday April 2026

Der SAP Security Patchday im April war am 14.04.2026. Diees Mal sind es 19 neue Security-Hinweise und ein Hinweis-Update.
#SAP Security Patch Day
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security & Berechtigungen
Download
Über 300 Seiten praxisnahes SAP-Wissen mit Tipps, Tricks und Tutorials direkt aus echten Systemen.
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage