Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de SAP de mayo de 2026

Fecha de publicación 12/05/2026
Identificador
INCIBE-2026-338
Importancia
5 - Crítica
Recursos Afectados
  • SAP S/4HANA (SAP Enterprise Search for ABAP), versiones SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP Commerce cloud, versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAP Forecasting & Replenishment, versiones SCM 702, 712, 713, 714.
  • SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP S/4HANA Condition Maintenance, versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • Business Server Pages Application (TAF_APPLAUNCHER), versiones ST-PI 740, 758.
  • SAP BusinessObjects Business Intelligence Platform, versiones ENTERPRISE 430, 2025, 2027.
  • SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), versiones SEM-BW 605, 700, 736, 746, 747, 748, 749, 800.
  • SAP Commerce Cloud (Apache Log4j), versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAPUI5 (Search UI), versiones SAPUI5 1.108, 1.120, 1.136, 1.142, 1.71, 1.84, 1.96.
  • SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918.
  • SAP Financial Consolidation, versión FINANCE 1010.
  • SAP Incentive and Commission Management, versiones SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 604, 605, 606, 617.
  • SAP Application Server ABAP for SAP NetWeaver and ABAP Platform, versiones SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP HANA Deployment Infrastructure (HDI) deploy library, versión XS_HDI_DEPLOYER 1.00.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 15 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta, 11 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), Cross-Site Scripting (XSS) reflejado, content spoofing, denegación de servicio, falta de comprobación de autenticación, falta de comprobación de autorización, inyección de código, potencial validación incorrecta de certificado, vulnerabilidad de inyección SQL y vulnerabilidad de inyección de comandos del Sistema Operativo.

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son de los siguientes tipos:

  • vulnerabilidad de inyección SQL
  • falta de comprobación de autenticación

Se han asignado los identificadores CVE-2026-34260 y CVE-2026-34263 para las vulnerabilidades de severidad crítica.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-34260 Crítica no SAP
CVE-2026-34263 Crítica no SAP
Listado de referencias
SAP Security Patch Day - May 2026
Múltiples vulnerabilidades en productos de Schneider Electric
Etiquetas