sap mayıs 2026 yaması geldi, iki kritik açık var

Posted on 12 May 2026

arkadaşlar, sap mayıs ayı güvenlik güncellemesini yayınladı. 15 tane açık kapatmış ama içinde 2 tanesi kritik seviyede. commerce cloud ve s/4hana erp kullananlar dikkat, acil yamalayın.

ne var bu yamada

sap’nin mayıs 2026 yamasında toplam 15 güvenlik açığı kapatılmış. bunların 2 tanesi kritik seviyede ve commerce cloud ile s/4hana’yı etkiliyor. commerce cloud dediğimiz şey enterprise seviyesinde e-ticaret platformu, s/4hana da bildiğiniz erp sistemi.

kritik olan açıklar ciddi ciddi uzaktan sömürülebilir türden. yani saldırganın sisteminize fiziksel erişime ihtiyacı yok, internetten hallediyor işini.

spoiler: henüz aktif sömürü bilgisi yok ama kritik seviyede olduğu için beklemeden yamalamak lazım.

zafiyet detayları

sap henüz tam teknik detayları paylaşmamış ama şunları biliyoruz:

kritik seviyedeki açıklar:

  • commerce cloud’da kimlik doğrulama bypass zafiyeti
  • s/4hana’da uzaktan kod çalıştırma (rce) açığı

cvss skorları 9.0 üzerinde, yani kritik kategorisinde. özellikle s/4hana’daki rce açığı çok tehlikeli çünkü saldırgan sisteminizde kod çalıştırabilir.

etkilenen sistemler

sistemdurum
sap commerce cloud✅ etkileniyor (kritik)
sap s/4hana✅ etkileniyor (kritik)
diğer sap ürünleri✅ etkileniyor (13 adet orta/düşük seviye)

yapmanız gerekenler

şimdi ne yapacaksınız:

  1. hemen yama uygulayın: sap support portal’dan mayıs 2026 security patch’ini indirin
  2. önce test edin: production’a atmadan önce test ortamında deneyin, sonra sıkıntı çıkarsa bana sormayın
  3. yedek alın: yamalamadan önce mutlaka yedek alın, sap güncellemeleri bazen sürpriz yapabiliyor
# sap sistemlerinizin versiyonunu kontrol edin
# sap gui veya web interface üzerinden system > status

# yama seviyesini kontrol etmek için
# transaction code: spam (support package manager)

# yama uygulamadan önce yedek alın
# transaction code: db13 (dba planning calendar)

geçici çözümler

eğer hemen yamalayamıyorsanız (ki yamalayın ama neyse):

commerce cloud için:

  • web application firewall (waf) kurallarını sıkılaştırın
  • kimlik doğrulama katmanına ekstra kontroller ekleyin
  • authentication endpoint’lerine rate limiting uygulayın

s/4hana için:

  • sadece güvenilir ip adreslerinden erişime izin verin
  • vpn arkasına alın sistemi
  • gereksiz servisleri kapatın
  • network segmentation yapın

edit: bu geçici çözümler kalıcı değil, asıl çözüm yamayı uygulamak.

öncelik sıralaması

şunu bi yapın:

  1. önce kritik sistemleri yamalayın: internet’e açık commerce cloud ve s/4hana sistemleri
  2. sonra internal sistemlere geçin: içeride kalanlar biraz bekleyebilir ama uzatmayın
  3. test ortamlarını unutmayın: onlar da yamalı olsun, yoksa test ortamından production’a geçiş yaparken sorun çıkar

timeline

  • 12 mayıs 2026: sap yamaları yayınladı
  • hemen: kritik sistemleri yamalayın
  • 1 hafta içinde: tüm sap sistemleriniz yamalı olmalı
  • 2 hafta içinde: compliance raporlarınızı güncelleyin

kaynaklar

dikkat: sap genelde cve numaralarını birkaç gün sonra paylaşıyor, bu yazıyı güncelleyeceğim cve’ler gelince.

son söz

agalar, sap sistemleri kritik iş uygulamaları. e-ticaret platformunuz veya erp sisteminiz hacklense ne olur bir düşünün. hemen yamalayın, sonra “keşke yamasaydım” diyen görmedim ama “keşke yamalasaydım” diyen çok gördüm.

bkz: patch management
bkz: sap security

Bu içerik yapay zeka tarafından oluşturulmuştur.