Sió-Informatika Rendszerház

HÍREK

SAP sürgősségi biztonsági frissítéseket adott ki kritikus Commerce Cloud és S/4HANA sérülékenységek miatt

SAP kritikus sérülékenység

A szakértők szerint különösen aggasztó, hogy az egyik hiba távoli kódfuttatást (RCE) tesz lehetővé hitelesítés nélkül.

A SAP rendkívüli biztonsági frissítéseket adott ki több súlyos sérülékenység javítására, amelyek a vállalat legfontosabb üzleti platformjait — köztük a SAP Commerce Cloudot és az S/4HANA rendszert — érintik.

A 2026 májusi biztonsági csomag összesen:

  • 15 különböző sérülékenységet javít
  • több kritikus ERP és cloud rendszert érint
  • multinacionális vállalatokat, pénzügyi szervezeteket, gyártókat és állami intézményeket veszélyeztethet

Kritikus RCE hiba a SAP Commerce Cloudban

A legsúlyosabb sérülékenység:

  • CVE-2026-34263

Ez a hiba a SAP Commerce Cloudot érinti, amelyet világszerte nagyvállalatok és e-kereskedelmi rendszerek használnak.

Mi a probléma?

A sérülékenység oka:

  • hibás Spring Security konfiguráció

A támadók:

  • rosszindulatú konfigurációkat tölthetnek fel
  • tetszőleges kódot futtathatnak
  • hitelesítés nélkül kompromittálhatják a rendszert

Ez az egyik legveszélyesebb sérülékenység-típus vállalati környezetben.

Miért különösen veszélyes?

A Commerce Cloud rendszerek gyakran kezelnek:

  • ügyféladatokat
  • rendelési adatokat
  • fizetési folyamatokat
  • belső üzleti logikát
  • ERP-integrációkat

Sikeres támadás esetén a támadók:

  • adatokat lophatnak
  • manipulálhatják a tranzakciókat
  • teljes szolgáltatáskimaradást okozhatnak
  • oldalirányú mozgást indíthatnak a vállalati hálózatban

Kritikus SQL injection hiba az S/4HANA rendszerben

A második legsúlyosabb sérülékenység:

  • CVE-2026-34260

Ez a SAP S/4HANA rendszert érinti.

A hiba típusa:

  • SQL injection

A rendszer:

  • közvetlenül fűzi be a felhasználói inputot SQL lekérdezésekbe
  • megfelelő validáció és szűrés nélkül

Ez lehetővé teheti:

  • érzékeny adatbázis-információk kiolvasását
  • alkalmazásösszeomlást
  • adatmanipulációt

Miért kritikus az ERP-biztonság?

Az ERP rendszerek a vállalat „koronaékszerei”.

Gyakran tartalmaznak:

  • pénzügyi adatokat
  • bérszámfejtést
  • beszállítói szerződéseket
  • logisztikai információkat
  • gyártási adatokat
  • ügyféladatokat
  • supply chain folyamatokat

Egy ERP kompromittálása:

  • teljes vállalati láthatóságot adhat a támadóknak
  • jelentős pénzügyi károkat okozhat
  • akár globális ellátási láncokat is megzavarhat

További javított sérülékenységek

A SAP ezen kívül további:

  • 1 magas
  • 11 közepes súlyosságú

hibát is javított.

Az érintett problémák között szerepel:

  • command injection
  • authorization bypass
  • XSS
  • CSRF
  • DoS
  • input validation hibák

A CISA korábban több SAP hibát is aktív kihasználásúnak minősített

A Cybersecurity and Infrastructure Security Agency (CISA) korábban:

  • legalább 14 SAP sérülékenységet vett fel a KEV listára

Ezek közül több:

  • ransomware támadásokban
  • vállalati betörésekben
  • kritikus infrastruktúra elleni műveletekben

is megjelent.

Miért nehéz gyorsan patch-elni az SAP rendszereket?

A nagyvállalatok gyakran késleltetik az SAP patchinget, mert:

  • összetett tesztelési folyamat kell
  • üzletkritikus rendszerekről van szó
  • több osztály koordinációja szükséges
  • maintenance window kell
  • félnek az üzleti leállástól

Ez viszont hosszabb támadási ablakot biztosít a támadóknak.

Supply chain támadások is növelik a nyomást

Az SAP ökoszisztéma már korábban is célpont volt.

Korábban:

  • hivatalos SAP npm csomagokat kompromittáltak
  • fejlesztői tokeneket és credentialöket loptak
  • supply chain támadásokat hajtottak végre

Ez különösen veszélyes:

  • CI/CD rendszerekben
  • enterprise fejlesztői környezetekben
  • cloud integrációkban

A SAP globális jelentősége

A SAP:

  • a világ legnagyobb enterprise szoftvergyártója
  • több mint 36 milliárd euró éves bevétellel
  • a világ 100 legnagyobb vállalatából 99 használja a rendszereit

Ezért egy kritikus SAP sérülékenység globális hatású lehet.

Mit javasolnak most a szakértők?

Azonnali teendők
  • azonnali patch telepítés
  • internet-facing SAP rendszerek auditja
  • külső hozzáférések korlátozása
  • SQL aktivitás monitorozása
  • ERP hálózati szegmentáció
  • privilege review
  • third-party integrációk ellenőrzése
  • compromise assessment végrehajtása
Miért sürgős?

A kutatók szerint:

a támadók a patch-ek megjelenése után szinte azonnal reverse engineeringet kezdenek.

A proof-of-concept exploitok gyakran:

  • napokon belül
  • vagy akár órákon belül

megjelennek.

Növekvő nyomás az enterprise szoftvergyártókon

A mostani incidens ismét rámutat:

a cloud-connected enterprise rendszerek egyre nagyobb célponttá válnak.

A támadók fókusza ma már nemcsak endpointokon van, hanem:

  • ERP rendszereken
  • identity platformokon
  • supply chain infrastruktúrán
  • management rendszereken
  • cloud szolgáltatásokon

Összegzés

A SAP két kritikus sérülékenységet javított:

  • CVE-2026-34263 — hitelesítés nélküli RCE a Commerce Cloudban
  • CVE-2026-34260 — SQL injection az S/4HANA rendszerben

A szakértők szerint:

  • a támadók gyorsan elkezdik elemezni a patch-eket
  • az internet-facing SAP rendszerek kiemelt veszélyben vannak
  • az ERP platformok ma már elsődleges célpontok

A legfontosabb üzenet:

a SAP rendszerek patch managementje már nem egyszerű IT feladat — hanem kritikus üzletbiztonsági kérdés.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!