SAP opravila viaceré kritické a vysoko závažné zraniteľnosti

May 15, 2026

Spoločnosť SAP vydala sadu opráv zraniteľností vo viacerých svojich produktoch. Dve z nich sú klasifikované ako kritické a jedna ako vysoko závažná. Umožňujú vzdialene vykonávať kód a príkazy operačného systému, získať prístup k citlivým údajom, alebo spôsobiť nedostupnosť aplikácie.

Zraniteľné systémy:

SAP S/4HANA (SAP Enterprise Search for ABAP), verzie SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816
SAP Commerce Cloud, verzie HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
SAP Forecasting & Replenishment, verzie SCM 702, 712, 713, 714

Opis činnosti:

Spoločnosť SAP vydala bezpečnostné aktualizácie, ktoré riešia 15 zraniteľností vo viacerých produktoch. Dve z nich sú hodnotené ako kritické a jedna ako vysoko závažná.

CVE-2026-34260 (CVSS skóre 9,6)

Kritická zraniteľnosť v SAP S/4HANA súvisí s nedostatočnou kontrolou používateľských vstupov. Autentifikovanému útočníkovi s nízkymi oprávneniami umožňuje vkladať škodlivé príkazy SQL v rámci útokov SQL injection. Útočník môže získať prístup k citlivým údajom alebo spôsobiť pád aplikácie. Nemal by mať možnosť dáta meniť.

CVE-2026-34263 (CVSS skóre 9,6)

Kritická zraniteľnosť v SAP Commerce Cloud súvisí s chýbajúcou kontrolou autentifikácie v rámci konfigurácie Spring Security. Neovereným vzdialeným útočníkom umožňuje nahrávať škodlivé konfiguračné dáta a spúšťať kód na zraniteľných serveroch.

CVE-2026-34259 (CVSS skóre 8,2)

Vysoko závažná zraniteľnosť v SAP Forecasting & Replenishment umožňuje lokálnemu autentifikovanému útočníkovi s oprávneniami správcu zneužiť funkciu non-remote-enabled na vykonanie ľubovoľných príkazov operačného systému.

Možné škody:

Únik citlivých informácií
Pozmenenie systémových dát
Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia zraniteľných verzií produktov podľa pokynov spoločnosti SAP.

Odkazy: