**SAP** emitiu seu boletim de segurança de maio de 2026, corrigindo 15 vulnerabilidades que afetam múltiplos produtos. As atualizações incluem correções para duas vulnerabilidades críticas encontradas no **SAP Commerce Cloud** e **S/4HANA**, destacando a necessidade de aplicação imediata de patches. ### Vulnerabilidades Críticas em Detalhe A primeira falha crítica, rastreada como **CVE-2026-34263**, reside no **SAP Commerce Cloud**. Essa ausência de verificação de autenticação permite que atacantes não autenticados executem código arbitrário em servidores vulneráveis. De acordo com a **SAP**, a configuração inadequada do **Spring Security** possibilita o upload de configurações maliciosas e injeção de código, levando a impactos severos de confidencialidade, integridade e disponibilidade. A segunda vulnerabilidade crítica, **CVE-2026-34260**, afeta o **S/4HANA**. Esta vulnerabilidade de injeção de SQL permite que atacantes com privilégios básicos injetem instruções SQL maliciosas. A aplicação concatena diretamente a entrada maliciosa do usuário em consultas SQL sem validação adequada, potencialmente concedendo acesso não autorizado a informações sensíveis do banco de dados e até mesmo causando falhas na aplicação. ### Outras Vulnerabilidades Abordadas O [boletim de segurança de maio de 2026 da SAP](https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2026.html) também inclui correções para um problema de alta severidade e 11 de média severidade. Estes incluem injeção de comandos, falta de verificações de autorização, cross-site scripting (XSS), cross-site request forgery (CSRF) e vulnerabilidades de negação de serviço. ### Exploração Prévia e Envolvimento da CISA Embora a **SAP** não tenha encontrado evidências de exploração em campo para essas vulnerabilidades recém-corrigidas, a **CISA** [adicionou 14 falhas de segurança da SAP](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?f%5B0%5D=vendor_project%3A835) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas nos últimos anos. Isso inclui duas vulnerabilidades que foram exploradas em ataques de ransomware, ressaltando a importância da aplicação oportuna de patches. Mais recentemente, [vários pacotes oficiais do SAP npm foram comprometidos](https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/) em um ataque à cadeia de suprimentos com o objetivo de roubar credenciais e tokens de autenticação dos sistemas dos desenvolvedores. Como a maior fornecedora de software empresarial do mundo, a **SAP** atende 99 das 100 maiores empresas do mundo. Com receitas totais superiores a €36 bilhões no ano fiscal de 2025, a postura de segurança da empresa é crítica para a economia global.  ## [99% do que a Mythos Encontrou Ainda Não Foi Corrigido.](https://hubs.li/Q04crVgD0) IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)