Przejdź do treści

🔒 Bezpieczny Wtorek

Bezpieczny Wtorek ze SNOK: Majowy wysyp dziur w SAP

SAP opublikował 15 poprawek bezpieczeństwa – dwie z nich mają CVSS 9.6. Jeśli Twoja firma korzysta z S/4HANA lub Commerce Cloud, masz teraz krótkie okno na decyzję, zanim zrobi to za Ciebie ktoś inny.

15 poprawek SAP, dwie z nich nie czekają – majowy Patch Day 2026

12 maja 2026 SAP opublikował 15 not bezpieczeństwa. Dwie z nich mają ocenę CVSS 9.6 – to najwyższy próg w kategorii Critical. Jedna dotyczy S/4HANA, druga Commerce Cloud. Obie klasy podatności – SQL Injection i brakujące uwierzytelnienie – należą do tych, które atakujący aktywnie szukają po każdym Patch Day, analizując publiczne changelogi.

To jest regularny, comiesięczny Patch Day SAP. Nieregularne jest to, że w jednym miesiącu trafiły dwie noty Critical jednocześnie.


Co się stało – fakty

W drugą środę maja – zgodnie z harmonogramem – SAP opublikował pakiet 15 poprawek. Rozkład według priorytetu:

  • 2 Critical (CVSS 9.6)
  • 1 High (CVSS 8.2)
  • 11 Medium (CVSS 3.4–6.5)
  • 1 Low (CVSS 3.4)

Dwie noty Critical to nie wynik jednego błędu w jednym miejscu. To dwa niezależne problemy w dwóch różnych produktach SAP, które trafiły do publicznej bazy tego samego dnia.

Nota 3724838 – SQL Injection w SAP S/4HANA (Enterprise Search for ABAP), CVSS 9.6

Enterprise Search w ABAP to komponent indeksowania i wyszukiwania wbudowany w S/4HANA. Podatność klasy SQL Injection pozwala atakującemu – przy określonych uprawnieniach lub przez nieuwierzytelniony endpoint – na manipulację zapytaniami bazodanowymi. Konsekwencje: odczyt danych, których nie powinien widzieć; potencjalnie zapis lub usunięcie. CVSS 9.6 oznacza, że oceniono atak jako możliwy do przeprowadzenia zdalnie, z niskim progiem wejścia.

Nota 3733064 – Missing Authentication Check w SAP Commerce Cloud, CVSS 9.6

Brakujące sprawdzenie uwierzytelnienia to błąd architektoniczny, nie implementacyjny. Endpoint lub funkcja jest dostępna bez wymaganej weryfikacji tożsamości. W przypadku Commerce Cloud – platformy e-commerce SAP – konsekwencje są bezpośrednio biznesowe: potencjalny dostęp do danych zamówień, kont klientów, konfiguracji cenowej.

Nota 3732471 – OS Command Injection w SAP Forecasting & Replenishment, CVSS 8.2

OS Command Injection to podatność klasy High. Polega na możliwości wstrzyknięcia poleceń systemowych przez interfejs aplikacji. SAP Forecasting & Replenishment to moduł planowania zapasów – środowisko, w którym bezpośredni dostęp przez e-commerce jest mniej prawdopodobny, ale ryzyko eskalacji uprawnień wewnątrz krajobrazu SAP pozostaje realne.


Dlaczego to ważne dla polskich firm – nie tylko technicznie

Polskie firmy korzystające z SAP to w większości duże przedsiębiorstwa: produkcja, dystrybucja, retail, utilities, sektor publiczny. Dla wielu z nich SAP jest systemem rejestrowym – jedynym źródłem prawdy o finansach, zapasach, kontrahentach.

NIS2 obowiązuje od października 2024. Dla podmiotów kluczowych i ważnych oznacza to m.in. obowiązek zarządzania ryzykiem dostawców i aktualizowania systemów w rozsądnym czasie. Brak reakcji na Critical Note z CVSS 9.6 – przy jednoczesnym incydencie – to gotowy materiał dla organu nadzorczego na pytanie: “kiedy wiedzieliście i co zrobiliście?”

DORA dla sektora finansowego idzie o krok dalej. Instytucje finansowe mają obowiązek testowania i dokumentowania odporności operacyjnej. Nieopatchowana krytyczna podatność w systemie transakcyjnym to nie zaniedbanie techniczne – to ryzyko operacyjne wpisane w rejestr DORA.

Okno exploitacji po Patch Day. Kiedy SAP publikuje notę bezpieczeństwa, jednocześnie ujawnia – w sposób pośredni – gdzie szukać błędu. Badacze bezpieczeństwa i atakujący analizują changelogi i patche w ciągu 24-72 godzin od publikacji. Firmy, które nie wdrożyły poprawki, stają się łatwiejszym celem niż przed Patch Day – bo lokalizacja podatności jest teraz publiczna.

W SNOK widzimy to regularnie u klientów: najtrudniejsze nie jest podjęcie decyzji o patchowaniu, ale zmieszczenie się z testem regresji i oknem maintenance w harmonogramie produkcyjnym. To właśnie tutaj traci się tygodnie.


Pełna lista not bezpieczeństwa – maj 2026

NotaProduktTyp podatnościCVSSPriorytet
3724838SAP S/4HANA (Enterprise Search for ABAP)SQL Injection9.6Critical
3733064SAP Commerce CloudMissing Authentication Check9.6Critical
3732471SAP Forecasting & ReplenishmentOS Command Injection8.2High
3730019SAP NetWeaver AS ABAPOS Command Injection6.5Medium
3718083SAP S/4HANA Condition MaintenanceMissing Authorization Check6.3Medium
3727717Business Server Pages (TAF_APPLAUNCHER)XSS6.1Medium
3667593SAP BusinessObjects BI PlatformCSRF5.4Medium
3721959SAP Strategic Enterprise ManagementMissing Authorization Check5.4Medium
3716450SAP Commerce Cloud (Log4j)Improper Certificate Validation4.8Medium
3726583SAPUI5 (Search UI)Content Spoofing4.7Medium
3728690SAP NetWeaver ABAP (BSP Applications)Reflected XSS4.7Medium
3713521SAP Financial ConsolidationDenial of Service4.3Medium
3718508SAP Incentive & Commission ManagementMissing Authorization Check4.3Medium
3735359SAP Application Server ABAPCode Injection4.3Medium
3726962SAP HANA Deployment Infrastructure (HDI)SQL Injection3.4Low

Źródło: SAP Security Notes & News, maj 2026 (support.sap.com)


Jak zadziałać – cztery kroki bez korpo-procedur

Krok 1: Zidentyfikuj ekspozycję w ciągu 24 godzin

Nie każda firma ma S/4HANA i Commerce Cloud jednocześnie. Zacznij od pytania: które z produktów z powyższej listy faktycznie działają w Twoim krajobrazie? Lista systemów SAP, wersje, aktywne komponenty – to powinno być gotowe w ciągu jednej rozmowy z zespołem Basis.

Jeśli masz S/4HANA z aktywnym Enterprise Search: nota 3724838 jest Twoim priorytetem numer jeden.
Jeśli masz Commerce Cloud w środowisku produkcyjnym: nota 3733064 wymaga reakcji natychmiastowej.

Krok 2: Pobierz i oceń notę techniczną

Każda nota SAP zawiera Technical Details – dokładny opis poprawki, dotyczy wersji i komponentów, prerequisite notes. Dla CVSS 9.6 sprawdź również czy SAP opublikował workaround – jeśli tak, możesz go wdrożyć jako tymczasowe zabezpieczenie przed pełnym patchem.

Krok 3: Zaplanuj okno maintenance

Test regresji przed wdrożeniem noty na produkcji to nie opcja – to konieczność. Dla krytycznych not realistyczny harmonogram to: transport na DEV → test automatyczny/manualny → transport na QAS → window na PRD. W środowiskach, gdzie tygodniowe okna maintenance są już zaplanowane, wejdź z notą Critical poza standardowy cykl.

Krok 4: Udokumentuj decyzję

Dla środowisk podlegających NIS2 lub DORA: zapisz datę, osobę decyzyjną, wynik oceny ryzyka i planowany termin wdrożenia. To nie biurokracja – to dowód działania w przypadku kontroli.


Co SNOK rekomenduje

Pracujemy z SAP Basis od lat – jako praktycy, nie konsultanci od arkuszy Excel. Maj 2026 to miesiąc z dwoma krytycznymi notami jednocześnie. Nie jest to norma, ale nie jest też precedens.

Nasze rekomendacje dla systemów produkcyjnych:

Jeśli masz S/4HANA lub Commerce Cloud: nota 3724838 i 3733064 wymagają akcji w tym tygodniu, nie w następnym cyklu kwartalnym. CVSS 9.6 to próg, przy którym okno 30-dniowe jest zbyt długie.

Jeśli używasz SAP NetWeaver AS ABAP: nota 3730019 (OS Command Injection, CVSS 6.5) trafia do systemów znacznie powszechniejszych niż S/4HANA. Nie jest Critical, ale jest w krajobrazie niemal każdego klienta SAP.

Jeśli masz Commerce Cloud z modułem Log4j: nota 3716450 (Improper Certificate Validation) jest Medium – ale Log4j w nazwie zawsze warto sprawdzić dokładniej, bo historia z Log4Shell uczy czujności.

Jeśli potrzebujesz wsparcia w ocenie ekspozycji lub organizacji okna maintenance poza standardowym harmonogramem – zespół SNOK Basis jest dostępny. Bez pitchu sprzedażowego, bez trzytygodniowej oferty. Mamy 30+ ekspertów SAP w Warszawie i 26+ wdrożeń referencyjnych za sobą.


Chcesz zobaczyć to w praktyce lub omówić wdrożenie w swojej firmie? Napisz do nas – odpowiemy w ciągu 48 h.


Bezpieczny Wtorek ze SNOK ukazuje się regularnie po każdym SAP Patch Day. Następna edycja: czerwiec 2026.

Jacek Bugajski – CEO, SNOK Sp. z o.o.

Tematy: SAP Cyberbezpieczeństwo S4HANA Patch Day NIS2

Czas na 30 minut bez slajdów

Powiedz, co Cię realnie boli – agenty AI, aplikacje, dane, compliance. Wrócimy z 3-5 priorytetami na piśmie. Jeśli to nie jest dla nas – powiemy, do kogo zadzwonić.