15 poprawek SAP, dwie z nich nie czekają – majowy Patch Day 2026
12 maja 2026 SAP opublikował 15 not bezpieczeństwa. Dwie z nich mają ocenę CVSS 9.6 – to najwyższy próg w kategorii Critical. Jedna dotyczy S/4HANA, druga Commerce Cloud. Obie klasy podatności – SQL Injection i brakujące uwierzytelnienie – należą do tych, które atakujący aktywnie szukają po każdym Patch Day, analizując publiczne changelogi.
To jest regularny, comiesięczny Patch Day SAP. Nieregularne jest to, że w jednym miesiącu trafiły dwie noty Critical jednocześnie.
Co się stało – fakty
W drugą środę maja – zgodnie z harmonogramem – SAP opublikował pakiet 15 poprawek. Rozkład według priorytetu:
- 2 Critical (CVSS 9.6)
- 1 High (CVSS 8.2)
- 11 Medium (CVSS 3.4–6.5)
- 1 Low (CVSS 3.4)
Dwie noty Critical to nie wynik jednego błędu w jednym miejscu. To dwa niezależne problemy w dwóch różnych produktach SAP, które trafiły do publicznej bazy tego samego dnia.
Nota 3724838 – SQL Injection w SAP S/4HANA (Enterprise Search for ABAP), CVSS 9.6
Enterprise Search w ABAP to komponent indeksowania i wyszukiwania wbudowany w S/4HANA. Podatność klasy SQL Injection pozwala atakującemu – przy określonych uprawnieniach lub przez nieuwierzytelniony endpoint – na manipulację zapytaniami bazodanowymi. Konsekwencje: odczyt danych, których nie powinien widzieć; potencjalnie zapis lub usunięcie. CVSS 9.6 oznacza, że oceniono atak jako możliwy do przeprowadzenia zdalnie, z niskim progiem wejścia.
Nota 3733064 – Missing Authentication Check w SAP Commerce Cloud, CVSS 9.6
Brakujące sprawdzenie uwierzytelnienia to błąd architektoniczny, nie implementacyjny. Endpoint lub funkcja jest dostępna bez wymaganej weryfikacji tożsamości. W przypadku Commerce Cloud – platformy e-commerce SAP – konsekwencje są bezpośrednio biznesowe: potencjalny dostęp do danych zamówień, kont klientów, konfiguracji cenowej.
Nota 3732471 – OS Command Injection w SAP Forecasting & Replenishment, CVSS 8.2
OS Command Injection to podatność klasy High. Polega na możliwości wstrzyknięcia poleceń systemowych przez interfejs aplikacji. SAP Forecasting & Replenishment to moduł planowania zapasów – środowisko, w którym bezpośredni dostęp przez e-commerce jest mniej prawdopodobny, ale ryzyko eskalacji uprawnień wewnątrz krajobrazu SAP pozostaje realne.
Dlaczego to ważne dla polskich firm – nie tylko technicznie
Polskie firmy korzystające z SAP to w większości duże przedsiębiorstwa: produkcja, dystrybucja, retail, utilities, sektor publiczny. Dla wielu z nich SAP jest systemem rejestrowym – jedynym źródłem prawdy o finansach, zapasach, kontrahentach.
NIS2 obowiązuje od października 2024. Dla podmiotów kluczowych i ważnych oznacza to m.in. obowiązek zarządzania ryzykiem dostawców i aktualizowania systemów w rozsądnym czasie. Brak reakcji na Critical Note z CVSS 9.6 – przy jednoczesnym incydencie – to gotowy materiał dla organu nadzorczego na pytanie: “kiedy wiedzieliście i co zrobiliście?”
DORA dla sektora finansowego idzie o krok dalej. Instytucje finansowe mają obowiązek testowania i dokumentowania odporności operacyjnej. Nieopatchowana krytyczna podatność w systemie transakcyjnym to nie zaniedbanie techniczne – to ryzyko operacyjne wpisane w rejestr DORA.
Okno exploitacji po Patch Day. Kiedy SAP publikuje notę bezpieczeństwa, jednocześnie ujawnia – w sposób pośredni – gdzie szukać błędu. Badacze bezpieczeństwa i atakujący analizują changelogi i patche w ciągu 24-72 godzin od publikacji. Firmy, które nie wdrożyły poprawki, stają się łatwiejszym celem niż przed Patch Day – bo lokalizacja podatności jest teraz publiczna.
W SNOK widzimy to regularnie u klientów: najtrudniejsze nie jest podjęcie decyzji o patchowaniu, ale zmieszczenie się z testem regresji i oknem maintenance w harmonogramie produkcyjnym. To właśnie tutaj traci się tygodnie.
Pełna lista not bezpieczeństwa – maj 2026
| Nota | Produkt | Typ podatności | CVSS | Priorytet |
|---|---|---|---|---|
| 3724838 | SAP S/4HANA (Enterprise Search for ABAP) | SQL Injection | 9.6 | Critical |
| 3733064 | SAP Commerce Cloud | Missing Authentication Check | 9.6 | Critical |
| 3732471 | SAP Forecasting & Replenishment | OS Command Injection | 8.2 | High |
| 3730019 | SAP NetWeaver AS ABAP | OS Command Injection | 6.5 | Medium |
| 3718083 | SAP S/4HANA Condition Maintenance | Missing Authorization Check | 6.3 | Medium |
| 3727717 | Business Server Pages (TAF_APPLAUNCHER) | XSS | 6.1 | Medium |
| 3667593 | SAP BusinessObjects BI Platform | CSRF | 5.4 | Medium |
| 3721959 | SAP Strategic Enterprise Management | Missing Authorization Check | 5.4 | Medium |
| 3716450 | SAP Commerce Cloud (Log4j) | Improper Certificate Validation | 4.8 | Medium |
| 3726583 | SAPUI5 (Search UI) | Content Spoofing | 4.7 | Medium |
| 3728690 | SAP NetWeaver ABAP (BSP Applications) | Reflected XSS | 4.7 | Medium |
| 3713521 | SAP Financial Consolidation | Denial of Service | 4.3 | Medium |
| 3718508 | SAP Incentive & Commission Management | Missing Authorization Check | 4.3 | Medium |
| 3735359 | SAP Application Server ABAP | Code Injection | 4.3 | Medium |
| 3726962 | SAP HANA Deployment Infrastructure (HDI) | SQL Injection | 3.4 | Low |
Źródło: SAP Security Notes & News, maj 2026 (support.sap.com)
Jak zadziałać – cztery kroki bez korpo-procedur
Krok 1: Zidentyfikuj ekspozycję w ciągu 24 godzin
Nie każda firma ma S/4HANA i Commerce Cloud jednocześnie. Zacznij od pytania: które z produktów z powyższej listy faktycznie działają w Twoim krajobrazie? Lista systemów SAP, wersje, aktywne komponenty – to powinno być gotowe w ciągu jednej rozmowy z zespołem Basis.
Jeśli masz S/4HANA z aktywnym Enterprise Search: nota 3724838 jest Twoim priorytetem numer jeden.
Jeśli masz Commerce Cloud w środowisku produkcyjnym: nota 3733064 wymaga reakcji natychmiastowej.
Krok 2: Pobierz i oceń notę techniczną
Każda nota SAP zawiera Technical Details – dokładny opis poprawki, dotyczy wersji i komponentów, prerequisite notes. Dla CVSS 9.6 sprawdź również czy SAP opublikował workaround – jeśli tak, możesz go wdrożyć jako tymczasowe zabezpieczenie przed pełnym patchem.
Krok 3: Zaplanuj okno maintenance
Test regresji przed wdrożeniem noty na produkcji to nie opcja – to konieczność. Dla krytycznych not realistyczny harmonogram to: transport na DEV → test automatyczny/manualny → transport na QAS → window na PRD. W środowiskach, gdzie tygodniowe okna maintenance są już zaplanowane, wejdź z notą Critical poza standardowy cykl.
Krok 4: Udokumentuj decyzję
Dla środowisk podlegających NIS2 lub DORA: zapisz datę, osobę decyzyjną, wynik oceny ryzyka i planowany termin wdrożenia. To nie biurokracja – to dowód działania w przypadku kontroli.
Co SNOK rekomenduje
Pracujemy z SAP Basis od lat – jako praktycy, nie konsultanci od arkuszy Excel. Maj 2026 to miesiąc z dwoma krytycznymi notami jednocześnie. Nie jest to norma, ale nie jest też precedens.
Nasze rekomendacje dla systemów produkcyjnych:
Jeśli masz S/4HANA lub Commerce Cloud: nota 3724838 i 3733064 wymagają akcji w tym tygodniu, nie w następnym cyklu kwartalnym. CVSS 9.6 to próg, przy którym okno 30-dniowe jest zbyt długie.
Jeśli używasz SAP NetWeaver AS ABAP: nota 3730019 (OS Command Injection, CVSS 6.5) trafia do systemów znacznie powszechniejszych niż S/4HANA. Nie jest Critical, ale jest w krajobrazie niemal każdego klienta SAP.
Jeśli masz Commerce Cloud z modułem Log4j: nota 3716450 (Improper Certificate Validation) jest Medium – ale Log4j w nazwie zawsze warto sprawdzić dokładniej, bo historia z Log4Shell uczy czujności.
Jeśli potrzebujesz wsparcia w ocenie ekspozycji lub organizacji okna maintenance poza standardowym harmonogramem – zespół SNOK Basis jest dostępny. Bez pitchu sprzedażowego, bez trzytygodniowej oferty. Mamy 30+ ekspertów SAP w Warszawie i 26+ wdrożeń referencyjnych za sobą.
Chcesz zobaczyć to w praktyce lub omówić wdrożenie w swojej firmie? Napisz do nas – odpowiemy w ciągu 48 h.
Bezpieczny Wtorek ze SNOK ukazuje się regularnie po każdym SAP Patch Day. Następna edycja: czerwiec 2026.
Jacek Bugajski – CEO, SNOK Sp. z o.o.