**SAP** a publié son avis de sécurité de mai 2026, corrigeant 15 vulnérabilités affectant plusieurs produits. Les mises à jour incluent des correctifs pour deux vulnérabilités critiques découvertes dans **SAP Commerce Cloud** et **S/4HANA**, soulignant la nécessité d'un patching immédiat. ### Vulnérabilités critiques en détail La première faille critique, identifiée comme **CVE-2026-34263**, réside dans **SAP Commerce Cloud**. Cette absence de vérification d'authentification permet à des attaquants non authentifiés d'exécuter du code arbitraire sur les serveurs vulnérables. Selon **SAP**, la mauvaise configuration de **Spring Security** permet le téléchargement de configurations malveillantes et l'injection de code, entraînant de graves impacts sur la confidentialité, l'intégrité et la disponibilité. La deuxième vulnérabilité critique, **CVE-2026-34260**, affecte **S/4HANA**. Cette vulnérabilité d'injection SQL permet à des attaquants disposant de privilèges de base d'injecter des instructions SQL malveillantes. L'application concatène directement les entrées utilisateur malveillantes dans les requêtes SQL sans validation appropriée, ce qui pourrait accorder un accès non autorisé à des informations sensibles de la base de données et même provoquer des plantages de l'application. ### Autres vulnérabilités corrigées L'[avis de sécurité de mai 2026 de SAP](https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html) inclut également des correctifs pour une vulnérabilité de gravité élevée et 11 vulnérabilités de gravité moyenne. Celles-ci comprennent des injections de commande, des vérifications d'autorisation manquantes, des vulnérabilités de cross-site scripting (XSS), de cross-site request forgery (CSRF) et de déni de service. ### Exploitation préalable et implication de la CISA Bien que **SAP** n'ait trouvé aucune preuve d'exploitation active de ces vulnérabilités nouvellement corrigées, la **CISA** [a ajouté 14 failles de sécurité SAP](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?f%5B0%5D=vendor_project%3A835) à son catalogue de vulnérabilités connues et exploitées ces dernières années. Cela inclut deux vulnérabilités qui ont été exploitées dans des attaques de ransomware, soulignant l'importance d'un patching rapide. Plus récemment, [plusieurs packages npm officiels SAP ont été compromis](https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/) dans une attaque de la chaîne d'approvisionnement visant à voler des identifiants et des jetons d'authentification sur les systèmes des développeurs. En tant que plus grand fournisseur de logiciels d'entreprise au monde, **SAP** dessert 99 des 100 plus grandes entreprises mondiales. Avec un chiffre d'affaires total dépassant les 36 milliards d'euros au cours de l'exercice 2025, la posture de sécurité de l'entreprise est essentielle pour l'économie mondiale.  ## [99% de ce que Mythos a trouvé est toujours non corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits est à venir. Au Autonomous Validation Summit (12 et 14 mai), découvrez comment la validation autonome et riche en contexte identifie ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la chaîne de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)