A SAP divulgou as atualizações de segurança de maio de 2026, que corrigem 15 vulnerabilidades em vários produtos, incluindo duas falhas críticas no Commerce Cloud e no S/4HANA.
O Commerce Cloud é uma plataforma de comércio eletrônico de nível corporativo, usada por lojas virtuais de grandes varejistas e marcas globais.
Já o S/4HANA é uma suíte de Enterprise Resource Planning (ERP) baseada em cloud, que substituirá o sistema ECC ERP da empresa, instalado localmente.
Identificada como
CVE-2026-34263
, a primeira falha crítica está ligada à ausência de verificação de autenticação no SAP Commerce Cloud, o que permite que atacantes sem autenticação executem código em servidores vulneráveis.
“Devido a uma configuração inadequada do Spring Security, o SAP Commerce Cloud permite que um usuário não autenticado realize upload malicioso de configuração e injeção de código, resultando em execução arbitrária de código no lado do servidor, com alto impacto sobre a confidencialidade, integridade e disponibilidade da aplicação”, informou a SAP.
A segunda vulnerabilidade crítica,
CVE-2026-34260
, permite que atacantes com privilégios básicos insiram instruções SQL maliciosas em ataques de SQLi de baixa complexidade.
“A aplicação concatena diretamente essa entrada maliciosa do usuário em consultas SQL, que são então repassadas ao banco de dados subjacente sem validação ou sanitização adequadas”, informou a SAP.
“Se a exploração for bem-sucedida, um atacante pode obter acesso não autorizado a informações sensíveis do banco de dados e, potencialmente, derrubar a aplicação.
Essa vulnerabilidade tem alto impacto sobre a confidencialidade e a disponibilidade da aplicação, enquanto a integridade permanece inalterada.”
O boletim de segurança de maio de 2026 da SAP também traz correções para uma falha de alta severidade e 11 problemas de severidade média, incluindo injeção de comandos, ausência de verificações de autorização, XSS, CSRF e negação de serviço.
Embora a SAP não tenha encontrado evidências de exploração em ambiente real para nenhuma das vulnerabilidades corrigidas nesta atualização, a CISA adicionou 14 falhas de segurança da SAP ao seu catálogo de Vulnerabilities Known Exploited nos últimos anos, incluindo duas que foram abusadas em ataques de ransomware.
Mais recentemente, vários pacotes oficiais npm da SAP foram comprometidos em um ataque à supply chain, com o objetivo de roubar credenciais e tokens de autenticação dos sistemas de desenvolvedores.
Como maior fornecedora mundial de software empresarial, a multinacional alemã atende 99 das 100 maiores empresas do mundo e registrou receita total superior a 36 bilhões de euros no ano fiscal de 2025.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...