SAP-Sicherheitshinweise: Patch-Tag im Mai 2026
Aktuelles: SAP-Sicherheitshinweise für SAP Commerce Cloud SAP S/4HANA veröffentlicht
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:
- Zusammenfassung für Mai – Siebzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews- Hinweise und ein Hinweis mit hoher Priorität
- Angriff auf die Lieferkette – Angreifer nutzen manipulierte npm-Pakete, um sensible Daten zu stehlen
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, sieben Sicherheitslücken zu beheben, die in drei SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines „Patch Day“ im Mai siebzehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter drei „HotNews“-Hinweise und einen Hinweis mit hoher Priorität. Drei SAP-Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Am 30. April 2026 veröffentlichte SAP den HotNews-Hinweis Nr. 3747787, der sich mit einem Supply-Chain-Angriff befasst, der auf SAP-Entwickler und Unternehmen abzielt, die das SAP Cloud Programming (CAP)-Modell nutzen. Dieser Angriff, der als Variante des „Shai-Hulud“-Wurms identifiziert wurde, beinhaltet das Einschleusen von Schadcode in weit verbreitete SAP-npm-Pakete. Das Hauptziel dieser Malware ist der automatisierte Diebstahl von cloud , Service-Tokens und privaten Schlüsseln. Die schädlichen Pakete waren am 29. April 2026 für einen Zeitraum von zwei bis vier Stunden verfügbar. Wenn einer Ihrer Entwickler das/die betreffende(n) Paket(e) während des Zeitfensters heruntergeladen hat, in dem die schädlichen Versionen verfügbar waren, sind Sie möglicherweise betroffen. Es wurden bereinigte Versionen der Pakete veröffentlicht, um die infizierten Versionen zu ersetzen. Weitere Details zu dem Angriff finden Sie hier.
Der SAP-Sicherheitshinweis Nr. 3733064, der mit einem CVSS-Score von 9,6 bewertet wurde, behebt eine Sicherheitslücke aufgrund fehlender Authentifizierungsprüfung in Cloud der SAP Commerce Cloud . Die Sicherheitslücke wird durch eine zu freizügige Sicherheitskonfiguration mit falscher Reihenfolge der Regeln verursacht, wodurch ein nicht authentifizierter Benutzer böswillige Konfigurations-Uploads und Code-Injektionen durchführen kann, was zur Ausführung beliebigen serverseitigen Codes führt.
Der SAP-Sicherheitshinweis Nr. 3724838, der mit einem CVSS-Score von 9,6 versehen ist, bietet einen Patch für eine SQL-Injection-Sicherheitslücke in SAP S/4HANA (SAP Enterprise Search for ABAP). Aufgrund einer unsachgemäßen oder fehlenden Eingabevalidierung und -bereinigung ist ein authentifizierter Angreifer in der Lage, bösartige SQL-Anweisungen über benutzergesteuerte Eingaben einzuschleusen, was erhebliche Auswirkungen auf die Vertraulichkeit und Verfügbarkeit der Anwendung hat. Glücklicherweise erlaubt der betroffene Quellcode nur Lesezugriff auf Daten, sodass die Integrität nicht beeinträchtigt wird.
Die Notizen mit hoher Priorität im Detail
Der einzige Hinweis mit hoher Priorität des SAP-Patch-Days im Mai wurde von SAP in Zusammenarbeit mit den Onapsis Research Labs(ORL) veröffentlicht. Der Hinweis behebt Schwachstellen in fünf Funktionsmodulen von SAP Forecasting & Replenishment, die es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, beliebige Betriebssystembefehle auszuführen. Die Funktionsmodule sind nicht für den Fernzugriff ausgelegt, akzeptieren jedoch Benutzereingaben von vorgelagerten Komponenten. Der SAP-Sicherheitshinweis Nr . 3732471, der mit einem CVSS-Score von 8,2 bewertet wurde, behebt die Schwachstellen durch das Hinzufügen geeigneter Autorisierungsprüfungen und Eingabevalidierungen.
Beitrag von Onapsis
Zusätzlich zu der Sicherheitsmitteilung mit hoher Priorität Nr. 3732471 unterstützte das ORL-Team SAP bei der Behebung von zwei weiteren Sicherheitslücken mit mittlerer Priorität.
Die SAP-Sicherheitsmitteilung Nr. 3721959, die mit einem CVSS-Wert von 5,4 versehen ist, behebt eine Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung in SAP Strategic Enterprise Management (BSP-Anwendung „Balanced Scorecard Wizard“). Aufgrund einer fehlenden Autorisierungsprüfung könnte ein authentifizierter Angreifer auf Informationen zugreifen, für deren Anzeige er ansonsten nicht berechtigt ist. Die Schwachstelle ermöglicht es dem Angreifer zudem, die Standardeinstellungen zu ändern und Wertefelder zu modifizieren, was zu irreführenden Risikobewertungen führt und die bewerteten Risikostufen fälschlicherweise senkt.
Der SAP-Sicherheitshinweis Nr. 3728690, der mit einem CVSS-Wert von 4,7 versehen ist, behandelt eine Reflected-Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Business Server Pages). Unser Team hat festgestellt, dass ein bestimmter URL-Parameter nicht ordnungsgemäß kodiert war, wodurch ein nicht authentifizierter Angreifer ein bösartiges Skript in die betroffene URL einbetten konnte. Klickt ein Opfer auf den manipulierten Link, wird die eingeschleuste Eingabe bei der Generierung der Webseite verarbeitet, was zur Ausführung bösartiger Inhalte im Browserkontext des Opfers führt. Ein erfolgreicher Exploit ermöglicht es dem Angreifer, Informationen zu lesen und/oder zu ändern, was die Vertraulichkeit und Integrität der Anwendung beeinträchtigt.
Zusammenfassung und Schlussfolgerungen
Mit siebzehn SAP-Sicherheitshinweisen, darunter drei „HotNews“-Hinweise und ein Hinweis mit hoher Priorität , fällt der SAP-Patch-Day im Mai durchschnittlich aus. Der Angriff auf die Lieferkette Ende April sorgte für erhebliche Turbulenzen, und es bleibt abzuwarten, ob sich solche Angriffe in Zukunft wiederholen werden. Umso wichtiger ist es daher, kritische Patches stets umgehend zu installieren.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3747787 | Neu | Schädliche Open-Source-Pakete im SAP Cloud Programming Model und im MTA Build Tool BC-XS-CDX-NJS | Aktuelles | – |
| 3733064 | Neu | [CVE-2026-34263] Fehlende Authentifizierungsprüfung im SAP Commerce Cloud CEC-SCC-CDM-BO-APP | Aktuelles | 9.6 |
| 3724838 | Neu | [CVE-2026-34260] SQL-Injection-Sicherheitslücke in SAP S/4HANA (SAP Enterprise Search for ABAP) BC-EIM-ESH | Aktuelles | 9.6 |
| 3732471 | Neu | [CVE-2026-34259] Sicherheitslücke durch OS-Befehlsinjektion in SAP Forecasting & Replenishment SCM-FRE-FRP | Hoch | 8.2 |
| 3730019 | Neu | [CVE-2026-40135] Sicherheitslücke durch OS-Befehlsinjektion im SAP NetWeaver Application Server für ABAP und in der Platform- BC-ABA-SC | Mittel | 6.5 |
| 3680767 | Neu | [CVE-2026-34264] Sicherheitslücke durch Offenlegung von Informationen in SAP Human Capital Management für SAP S/4HANA PA-PA-XX | Mittel | 6.5 |
| 3718083 | Neu | [CVE-2026-40133] Fehlende Berechtigungsprüfung in der SAP S/4HANA-Konditionspflege SD-MD-CM | Mittel | 6.3 |
| 3727717 | Neu | [CVE-2026-40137] Cross-Site-Scripting-Sicherheitslücke (XSS) in der Business Server Pages-Anwendung (TAF_APPLAUNCHER) SV-SMG-TWB-CBT | Mittel | 6.1 |
| 3721959 | Neu | [CVE-2026-40132] Fehlende Berechtigungsprüfung in SAP Strategic Enterprise Management (BSP-Anwendung „Balanced Scorecard Wizard“) FIN-SEM-CPM-BSC | Mittel | 5.4 |
| 3667593 | Neu | [CVE-2026-0502] Cross-Site-Request-Forgery (CSRF) in SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 5.4 |
| 3716450 | Neu | [CVE-2025-68161] Mögliche fehlerhafte Zertifikatsvalidierung in SAP Commerce Cloud Apache Log4j) CEC-SCC-PLA-PL | Mittel | 4.8 |
| 3728690 | Neu | [CVE-2026-27682] Reflektierte Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Business Server Pages) BC-BSP | Mittel | 4.7 |
| 3726583 | Neu | [CVE-2026-34258] Sicherheitslücke durch Content-Spoofing in SAPUI5 (Suchoberfläche) HAN-AS-INA-UI | Mittel | 4.7 |
| 3735359 | Neu | [CVE-2026-40129] Sicherheitslücke durch Code-Injektion in SAP Application Server ABAP für SAP NetWeaver und Platform BC-MID-ICF | Mittel | 4.3 |
| 3713521 | Neu | [CVE-2026-40136] Denial-of-Service-Angriff (DoS) in SAP Financial Consolidation EPM-BFC-PSI | Mittel | 4.3 |
| 3718508 | Neu | [CVE-2026-40134] Fehlende Berechtigungsprüfung im SAP- -ICM (Incentive and Commission Management) | Mittel | 4.3 |
| 3726962 | Neu | [CVE-2026-40131] SQL-Injection-Sicherheitslücke in der SAP HANA Deployment Infrastructure (HDI) Deployment-Bibliothek HAN-DB-DI | Niedrig | 3.4 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.