SAP corrige falhas críticas no S/4HANA e Commerce

A SAP disponibilizou um novo conjunto de atualizações de segurança no âmbito do seu Security Patch Day de maio de 2026, corrigindo vulnerabilidades críticas em plataformas como S/4HANA e SAP Commerce.

As falhas mais graves podem permitir a execução arbitrária de código e o acesso indevido a informação sensível.

Uma das vulnerabilidades, identificada como CVE-2026-34260, afeta o SAP S/4HANA e resulta de uma falha de validação e sanitização de inputs, permitindo ataques de SQL injection. Segundo a Onapsis, citada pela SecurityWeek, um atacante autenticado pode explorar a falha para injetar instruções SQL maliciosas e aceder a dados da aplicação.

Já a vulnerabilidade CVE-2026-34263, no SAP Commerce, resulta de uma configuração de segurança excessivamente permissiva e da ausência de verificações de autenticação.

“A vulnerabilidade permite a um utilizador não autenticado carregar configurações maliciosas e executar código arbitrário no servidor”, explica a Onapsis.

A SAP corrigiu ainda uma vulnerabilidade de injeção de comandos no sistema operativo no módulo Forecasting & Replenishment, que podia ser explorada por atacantes autenticados para executar comandos arbitrários.

Além destas falhas críticas, foram também resolvidos vários problemas de severidade média e baixa em produtos como NetWeaver, SAPUI5, BusinessObjects e Commerce Cloud.

Apesar de não existirem indicações de exploração ativa destas vulnerabilidades, a SAP recomenda a aplicação imediata das atualizações.

O novo ciclo de atualizações surge poucas semanas depois de um ataque à cadeia de software ter comprometido pacotes SAP NPM, num incidente que afetou mais de 1.800 programadores.