Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SAP opublikował majowy pakiet poprawek bezpieczeństwa z 12 maja 2026 r., obejmujący 15 nowych not bezpieczeństwa dla wielu produktów. Największą uwagę przyciągają dwie krytyczne podatności w SAP Commerce Cloud oraz SAP S/4HANA, ponieważ mogą prowadzić odpowiednio do zdalnego wykonania kodu oraz wstrzyknięcia SQL.
Dla organizacji wykorzystujących rozwiązania SAP do obsługi sprzedaży internetowej, logistyki i procesów ERP oznacza to konieczność pilnej oceny ekspozycji oraz szybkiego wdrożenia aktualizacji. Ze względu na rolę tych platform w kluczowych procesach biznesowych ryzyko należy rozpatrywać nie tylko w kontekście IT, ale również ciągłości działania przedsiębiorstwa.
W skrócie
- SAP wydał 15 nowych not bezpieczeństwa w ramach Security Patch Day za maj 2026.
- Dwie luki otrzymały status krytyczny i ocenę CVSS 9.6.
- CVE-2026-34263 w SAP Commerce Cloud może umożliwić nieuwierzytelnione zdalne wykonanie kodu.
- CVE-2026-34260 w SAP S/4HANA dotyczy SQL injection i może prowadzić do dostępu do wrażliwych danych oraz zakłócenia działania aplikacji.
- W pakiecie znalazły się również poprawki dla luk wysokiego i średniego ryzyka, w tym command injection, braków autoryzacji, XSS, CSRF oraz DoS.
Kontekst / historia
Security Patch Day SAP to cykliczny proces publikacji poprawek obejmujących zarówno rozwiązania chmurowe, jak i klasyczne komponenty środowisk ABAP oraz produkty powiązane. W wydaniu z maja 2026 r. szczególne znaczenie mają poprawki dla Commerce Cloud i S/4HANA, ponieważ dotyczą systemów bezpośrednio wspierających sprzedaż, obsługę klientów i planowanie zasobów przedsiębiorstwa.
Od lat infrastruktura SAP pozostaje atrakcyjnym celem dla cyberprzestępców, w tym grup ransomware. Kompromitacja środowiska ERP lub platformy e-commerce może przekładać się na szerokie skutki operacyjne, finansowe i regulacyjne, dlatego każda krytyczna luka w tym ekosystemie wymaga szybkiej reakcji.
Analiza techniczna
Najpoważniejszą luką jest CVE-2026-34263 w SAP Commerce Cloud. Problem wynika z nieprawidłowej kontroli uwierzytelnienia w konfiguracji zabezpieczeń opartej na Spring Security. W praktyce wada może pozwolić nieuwierzytelnionemu atakującemu na złośliwy upload konfiguracji i wstrzyknięcie kodu, co może zakończyć się arbitralnym wykonaniem kodu po stronie serwera.
Taki scenariusz jest szczególnie groźny dla organizacji prowadzących sprzedaż online. Przejęcie kontroli nad warstwą aplikacyjną może umożliwić manipulację konfiguracją, osadzenie trwałego malware, zmianę logiki działania sklepu lub wykorzystanie systemu jako punktu wejścia do dalszej penetracji infrastruktury.
Druga krytyczna podatność, CVE-2026-34260, dotyczy SAP S/4HANA, a dokładniej komponentu SAP Enterprise Search for ABAP. Jest to luka typu SQL injection, wynikająca z niewłaściwej walidacji lub sanitizacji danych wejściowych do zapytań SQL. Skuteczne wykorzystanie może umożliwić odczyt danych z bazy oraz doprowadzić do awarii aplikacji.
Istotne jest to, że wykorzystanie tej luki nie wymaga zaawansowanego łańcucha ataku, lecz jedynie podstawowych uprawnień. W środowiskach wewnętrznych zwiększa to ryzyko nadużyć z użyciem przejętych kont, kont technicznych o ograniczonych rolach lub aktorów poruszających się lateralnie po sieci.
Poza dwiema lukami krytycznymi SAP załatał również podatność wysokiego ryzyka związaną z command injection w SAP Forecasting & Replenishment oraz szereg luk średniego ryzyka. Obejmują one między innymi problemy z autoryzacją, podatności XSS, CSRF oraz DoS w różnych komponentach ekosystemu SAP.
Konsekwencje / ryzyko
W przypadku CVE-2026-34263 ryzyko biznesowe jest bardzo wysokie, ponieważ możliwość zdalnego wykonania kodu bez uwierzytelnienia stwarza scenariusz bezpośredniego przejęcia serwera aplikacyjnego. W praktyce może to prowadzić do kradzieży danych klientów, modyfikacji konfiguracji sklepu, sabotażu procesów sprzedażowych i dalszej kompromitacji środowiska.
CVE-2026-34260 niesie z kolei duże zagrożenie dla poufności danych oraz dostępności aplikacji. Dostęp do danych finansowych, magazynowych, kontraktowych czy operacyjnych w systemie ERP może mieć poważne skutki biznesowe, a sama podatność SQL injection może ułatwiać kolejne etapy ataku.
Dodatkowym problemem pozostaje centralna rola systemów SAP w przedsiębiorstwie. Incydent bezpieczeństwa w takim środowisku może wpłynąć na zamówienia, fakturowanie, łańcuch dostaw, raportowanie i zgodność regulacyjną. Każde opóźnienie we wdrożeniu poprawek zwiększa więc zarówno ekspozycję techniczną, jak i ryzyko operacyjne.
Rekomendacje
Organizacje korzystające z SAP Commerce Cloud, SAP S/4HANA i innych produktów objętych majowym pakietem powinny rozpocząć od inwentaryzacji podatnych wersji oraz mapowania ich do opublikowanych not bezpieczeństwa. Najwyższy priorytet należy nadać systemom dostępnym z internetu, środowiskom produkcyjnym oraz instancjom wspierającym krytyczne procesy sprzedażowe i ERP.
Kolejnym krokiem powinno być wdrożenie poprawek zgodnie z zaleceniami producenta, najlepiej z uwzględnieniem testów regresyjnych i planu awaryjnego. Jeżeli natychmiastowa aktualizacja nie jest możliwa, warto zastosować środki kompensujące.
- Ograniczyć ekspozycję interfejsów administracyjnych i usług dostępnych publicznie.
- Wdrożyć segmentację sieci oraz zawęzić komunikację do komponentów SAP.
- Zastosować dodatkowe reguły WAF i filtrowanie ruchu do warstwy aplikacyjnej.
- Monitorować nietypowe uploady konfiguracji, anomalie w zapytaniach SQL i błędy aplikacyjne.
- Zweryfikować zasadę najmniejszych uprawnień dla użytkowników i kont technicznych.
Z perspektywy SOC i zespołów reagowania na incydenty wskazane jest zwiększenie monitoringu logów aplikacyjnych, systemowych i bazodanowych pod kątem oznak prób exploitacji. Warto zwracać uwagę na nieautoryzowane żądania do komponentów konfiguracyjnych Commerce Cloud, nagłe zmiany konfiguracji, nietypowe wyjątki SQL i podejrzaną aktywność kont o niskich uprawnieniach.
Podsumowanie
Majowy Security Patch Day SAP z 12 maja 2026 r. usuwa dwie krytyczne podatności o wysokim potencjale nadużycia: zdalne wykonanie kodu bez uwierzytelnienia w SAP Commerce Cloud oraz SQL injection w SAP S/4HANA. Dla organizacji opierających kluczowe procesy na ekosystemie SAP jest to sygnał do natychmiastowego przeglądu ekspozycji i przyspieszenia działań naprawczych.
Najważniejsze kroki to szybka identyfikacja podatnych instancji, wdrożenie not bezpieczeństwa, zastosowanie zabezpieczeń kompensujących tam, gdzie aktualizacja musi zostać odroczona, oraz wzmożone monitorowanie oznak potencjalnej kompromitacji. W praktyce skala ryzyka uzasadnia traktowanie tych luk jako priorytetu zarówno dla zespołów bezpieczeństwa, jak i właścicieli biznesowych systemów.