Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.
Notas mayo 2026
Resumen y highlights del Mes
Este mes el número total ha sido de 15 notas (todas nuevas, sin actualizaciones), 5 menos que en abril. Este mes se han publicado 2 Hot News, una más que en el periodo anterior. En cuanto a notas de criticidad alta, hay 1, la misma cantidad con respecto a abril. Las notas medias y bajas no serán revisadas, por lo que daremos detalle de un total de 3 notas (todas las que tengan un CVSS de 7 o mayor).
Tenemos un total de 15 notas para todo el mes (las 15 son nuevas y no hay actualizaciones de notas de meses anteriores).
Revisaremos en detalle un total de 3 notas, todas de criticidad alta y Hot News:
-
La nota más alta en criticidad del mes (CVSS 9,6) es una Hot News y está relacionada con “SQL injection vulnerability in SAP S/4HANA (SAP Enterprise Search for ABAP)”.
-
La segunda nota con la misma criticidad (CVSS 9,6) es otra Hot News y está relacionada con “Missing authentication check in SAP Commerce cloud configuration”.
-
La última nota que revisaremos (CVSS 8,2) es de criticidad alta y trata sobre “OS Command Injection Vulnerability in SAP Forecasting & Replenishment”.
Este mes el tipo más predominante ha vuelto a ser “Missing Authorization check” (4/15 en el patch day).
En la gráfica podemos ver la clasificación de las notas de mayo, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):
Detalle completo
El detalle completo de las notas más relevantes es el siguiente (en inglés):
-
SQL injection vulnerability in SAP S/4HANA (SAP Enterprise Search for ABAP) (3724838): SAP S/4HANA (SAP Enterprise Search for ABAP) contains a SQL injection vulnerability that allows an authenticated attacker to inject malicious SQL statements through user-controlled input. The application directly concatenates this malicious user input into SQL queries, which are then passed to the underlying database without proper validation or sanitization. Upon successful exploitation, an attacker may gain unauthorized access to sensitive database information and could potentially crash the application. This vulnerability has a high impact on the confidentiality and availability of the application, while integrity remains unaffected. CVSS v3 Base Score 9,6/10 [CVE-2026-34260]
-
Missing authentication check in SAP Commerce cloud configuration (3733064): Due to improper Spring Security configuration, SAP Commerce Cloud allows an unauthenticated user to perform malicious configuration upload and code injection, resulting in arbitrary server-side code execution, leading to high impact on Confidentiality, Integrity, and Availability of the application. CVSS v3 Base Score 9,6/10 [CVE-2026-34263]
-
OS Command Injection Vulnerability in SAP Forecasting & Replenishment (3732471): Due to an OS Command Execution vulnerability in SAP Forecasting & Replenishment, an authenticated attacker with administrative authorizations could abuse a non-remote-enabled function to execute arbitrary operating system commands. Successful exploitation could allow the attacker to read or modify any system data or shut down the system, resulting in a complete compromise of confidentiality, integrity, and availability. CVSS v3 Base Score 8,2/10 [CVE-2026-34259]
Enlaces de referencia
Referencias, en inglés de SAP y Onapsis (mayo):
Recursos afectados
El listado completo de los sistemas/componentes afectados es el siguiente:
-
SAP S/4HANA (SAP Enterprise Search for ABAP): SAP_BASIS 751, 752, 753, 754, 755, 756, 757, 758, 816, 918
-
SAP Commerce cloud: HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
-
SAP Forecasting & Replenishment: SCM 702, 712, 713, 714