SAP publie les mises à jour de sécurité de mai 2026. Ces correctifs règlent 15 vulnérabilités qui affectent plusieurs produits. Deux failles critiques frappent Commerce Cloud et S/4HANA.
Commerce Cloud fournit une plateforme e-commerce aux boutiques en ligne des grands détaillants et marques mondiales. S/4HANA constitue une suite ERP dans le cloud qui succède au système ECC sur site de l’entreprise.
Les attaquants non authentifiés exploitent la première faille critique, répertoriée sous CVE-2026-34263. Une vérification d’authentification manque dans SAP Commerce Cloud. Une configuration défaillante de Spring Security expose les serveurs vulnérables à un upload de configuration malveillante et à une injection de code. Les pirates exécutent ainsi du code arbitraire côté serveur. Cette brèche compromet la confidentialité, l’intégrité et la disponibilité de l’application.
La seconde vulnérabilité critique, CVE-2026-34260, ouvre la porte à des injections SQL simples. Les assaillants dotés de privilèges basiques soumettent des instructions SQL malveillantes. L’application intègre directement ces entrées utilisateur dans les requêtes SQL sans validation ni assainissement avant transmission à la base de données. Les exploiteurs accèdent alors à des informations sensibles et provoquent un crash de l’application. La confidentialité et la disponibilité subissent un impact élevé, mais l’intégrité reste intacte.
Le bulletin de sécurité de mai 2026 corrige aussi une faille de gravité élevée et onze problèmes de gravité moyenne. Ces derniers incluent des injections de commandes, des contrôles d’autorisation absents, des attaques par script intersites (XSS), des contrefaçons de requêtes intersites (CSRF) et des dénis de service.
SAP ne détecte aucune exploitation réelle de ces vulnérabilités. Pourtant, CISA intègre quatorze failles SAP à son catalogue des vulnérabilités exploitées connues ces dernières années. Deux d’entre elles servent dans des attaques par rançongiciel.
Des paquets npm officiels de SAP subissent récemment un compromis lors d’une attaque dans la chaîne d’approvisionnement. Les malfaiteurs dérobent ainsi des identifiants et jetons d’authentification sur les systèmes des développeurs.
Leader mondial des logiciels d’entreprise, la multinationale allemande équipe quatre-vingt-dix-neuf des cent plus grandes sociétés planétaires. Elle enregistre des revenus supérieurs à 36 milliards d’euros pour l’exercice fiscal 2025.