Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 28.05.2026 · 2 min Lesezeit

SAP-Patchday Mai 2026: Zwei kritische Lücken erlauben unauthentifizierten Login

SAP schließt im Mai-Patchday 15 Schwachstellen, zwei davon kritisch. Eine erlaubt unauthentifizierten Login, eine zweite SQL-Injection.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Bürorechner mit Sicherheits-Icon – Symbolbild für SAP-Patchday

SAP hat zum Mai-Patchday 2026 insgesamt 15 neue Sicherheits-Hinweise veröffentlicht, davon zwei in der Stufe kritisch. Die schwerwiegendsten Lücken erlauben unauthentifizierten Login und SQL-Injection in zentralen Geschäftsanwendungen. Administratoren von SAP-Landschaften sollten den Patchday nicht aufschieben – die kritischen Fixes adressieren Wege, die nach erfolgreicher Ausnutzung praktisch die Kontrolle über das ERP-System bedeuten würden.

Die kritischen Patches im Überblick

Eine der beiden kritischen Schwachstellen erlaubt es einem entfernten Angreifer, die Authentifizierung komplett zu umgehen und sich an einem zentralen SAP-Dienst anzumelden. Die zweite kritische Lücke ist eine klassische SQL-Injection in einer Komponente, die bislang vorrangig intern angesprochen wurde – seit der Veröffentlichung müssen auch interne Service-Konten als angriffsfähig gelten, sobald ein Angreifer Netzzugriff hat.

Die übrigen 13 Hinweise bewegen sich in den Stufen "hoch" und "mittel" und decken klassische Themen ab: Cross-Site Scripting, Informationsoffenlegung, fehlerhafte Berechtigungsprüfungen in Custom-Apps und ein paar XML-External-Entity-Probleme. Heise weist darauf hin, dass SAP in der Mai-Runde damit erneut breit über Module hinweg patcht – ein Indiz, dass die internen Reviews der vergangenen Monate verschärft greifen.

Was Admins jetzt tun sollten

  1. Aktuelle SAP-Hinweise im Launchpad ziehen und nach Prio sortieren: kritisch zuerst, dann hoch.
  2. Vor dem Einspielen: Backup, Snapshot des Anwendungsservers, klar dokumentierter Rollback-Pfad.
  3. Bei Hosting-Konstellationen mit getrennten ABAP- und Java-Stacks beide Stacks prüfen – nicht alle Hinweise treffen beide gleichermaßen.
  4. Custom-Coding: eigene Z-Bausteine, die ähnliche SQL-Muster verwenden wie die fehlerhafte Standardkomponente, auf manuelle Eingabevalidierung gegenprüfen.
  5. Logging temporär verschärfen: ungewöhnliche Login-Versuche an exponierten SAP-Diensten in den ersten 72 Stunden nach Patch beobachten.

Für deutsche Mittelstands-Anwender ist die Episode ein weiterer Grund, das SAP-Patch-SLA mit dem Hosting-Partner oder dem internen Basis-Team konkret zu verhandeln. Auth-Bypass plus SQL-Injection ist die Kombination, mit der typischerweise vollständige Datenabflüsse möglich werden – wer bislang Quartalspatches gefahren ist, sollte spätestens jetzt auf monatliche Zyklen umstellen.

Mehr aus dem Sicherheitsumfeld: News aus der Kategorie Sicherheit

Quelle: heise online – SAP Patchday: Critical vulnerabilities allow unauthorized login

Verwandt

Weiter lesen

Alle Artikel →
Festplatte sicher löschen
26.05.2026 ·3 min

Festplatte sicher Löschen