**SAP** ha emitido su aviso de seguridad de mayo de 2026, corrigiendo 15 vulnerabilidades que afectan a múltiples productos. Las actualizaciones incluyen correcciones para dos vulnerabilidades críticas encontradas en **SAP Commerce Cloud** y **S/4HANA**, lo que subraya la necesidad de aplicar parches de inmediato. ### Vulnerabilidades Críticas en Detalle La primera falla crítica, rastreada como **CVE-2026-34263**, reside en **SAP Commerce Cloud**. Esta falta de verificación de autenticación permite a atacantes no autenticados ejecutar código arbitrario en servidores vulnerables. Según **SAP**, la configuración incorrecta de **Spring Security** permite la carga de configuraciones maliciosas y la inyección de código, lo que resulta en graves impactos en la confidencialidad, integridad y disponibilidad. La segunda vulnerabilidad crítica, **CVE-2026-34260**, afecta a **S/4HANA**. Esta vulnerabilidad de inyección SQL permite a atacantes con privilegios básicos inyectar sentencias SQL maliciosas. La aplicación concatena directamente la entrada maliciosa del usuario en las consultas SQL sin una validación adecuada, lo que podría otorgar acceso no autorizado a información sensible de la base de datos e incluso causar fallos en la aplicación. ### Otras Vulnerabilidades Abordadas El [aviso de seguridad de mayo de 2026 de **SAP**](https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html) también incluye correcciones para un problema de alta severidad y 11 de severidad media. Estos incluyen inyección de comandos, falta de verificaciones de autorización, cross-site scripting (XSS), cross-site request forgery (CSRF) y vulnerabilidades de denegación de servicio. ### Explotación Previa e Involucramiento de CISA Si bien **SAP** no ha encontrado evidencia de explotación en la naturaleza para estas vulnerabilidades recién parcheadas, la **CISA** [ha agregado 14 fallas de seguridad de **SAP**](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?f%5B0%5D=vendor_project%3A835) a su catálogo de Vulnerabilidades Explotadas Conocidas en los últimos años. Esto incluye dos vulnerabilidades que han sido explotadas en ataques de ransomware, lo que subraya la importancia de aplicar parches de manera oportuna. Más recientemente, [múltiples paquetes npm oficiales de **SAP** fueron comprometidos](https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/) en un ataque a la cadena de suministro dirigido a robar credenciales y tokens de autenticación de los sistemas de los desarrolladores. Como el mayor proveedor de software empresarial del mundo, **SAP** atiende al 99 de las 100 empresas más grandes a nivel mundial. Con ingresos totales que superan los 36 mil millones de euros en el año fiscal 2025, la postura de seguridad de la empresa es crítica para la economía global.  ## [El 99% de lo que Mythos Encontró Sigue Sin Parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama Tu Lugar](https://hubs.li/Q04crVgD0)