**SAP** hat seinen Sicherheitsratgeber für Mai 2026 herausgegeben und 15 Schwachstellen behoben, die mehrere Produkte betreffen. Die Updates enthalten Korrekturen für zwei kritische Schwachstellen in **SAP Commerce Cloud** und **S/4HANA**, was die Notwendigkeit sofortiger Patches unterstreicht. ### Kritische Schwachstellen im Detail Die erste kritische Lücke, **CVE-2026-34263**, befindet sich in **SAP Commerce Cloud**. Diese fehlende Authentifizierungsprüfung ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auf anfälligen Servern auszuführen. Laut **SAP** ermöglicht die fehlerhafte **Spring Security**-Konfiguration das Hochladen bösartiger Konfigurationen und Code-Injection, was zu schwerwiegenden Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit führt. Die zweite kritische Schwachstelle, **CVE-2026-34260**, betrifft **S/4HANA**. Diese SQL-Injection-Schwachstelle ermöglicht es Angreifern mit grundlegenden Berechtigungen, bösartige SQL-Anweisungen einzuschleusen. Die Anwendung verkettet bösartige Benutzereingaben direkt in SQL-Abfragen, ohne ordnungsgemäße Validierung, was potenziell unbefugten Zugriff auf sensible Datenbankinformationen ermöglicht und sogar zu Anwendungsabstürzen führen kann. ### Weitere behobene Schwachstellen **SAP**s [Sicherheitsratgeber für Mai 2026](https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html) enthält auch Korrekturen für eine hochgradige und 11 mittelschwere Probleme. Dazu gehören Command-Injection, fehlende Autorisierungsprüfungen, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) und Denial-of-Service-Schwachstellen. ### Frühere Ausnutzung und Beteiligung der CISA Obwohl **SAP** keine Beweise für eine Ausnutzung dieser neu gepatchten Schwachstellen in freier Wildbahn gefunden hat, hat die **CISA** [14 **SAP**-Sicherheitslücken](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?f%5B0%5D=vendor_project%3A835) in den letzten Jahren in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Dies schließt zwei Schwachstellen ein, die bei Ransomware-Angriffen ausgenutzt wurden, was die Bedeutung zeitnaher Patches unterstreicht. Zuletzt wurden [mehrere offizielle **SAP** npm-Pakete kompromittiert](https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/) bei einem Supply-Chain-Angriff, der darauf abzielte, Anmeldeinformationen und Authentifizierungstoken von Entwicklersystemen zu stehlen. Als weltweit größter Anbieter von Unternehmenssoftware bedient **SAP** 99 der 100 größten Unternehmen weltweit. Mit einem Gesamtumsatz von über 36 Milliarden Euro im Geschäftsjahr 2025 ist die Sicherheitslage des Unternehmens für die Weltwirtschaft von entscheidender Bedeutung.  ## [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. & 14. Mai) erfahren Sie, wie eine autonome, kontextreiche Validierung ausnutzbare Schwachstellen findet, beweist, dass Kontrollen greifen, und den Remediation-Prozess abschließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)