O que é o SAP Security Patch Day?

A cada segunda terça-feira do mês, a SAP realiza o SAP Security Patch Day — um evento regular e sincronizado com os ciclos de correção de outros grandes fornecedores de software, como a Microsoft e a Oracle. Trata-se do momento em que a SAP publica oficialmente suas SAP Security Notes: correções de software focadas exclusivamente em segurança, desenvolvidas para proteger os sistemas de clientes contra vulnerabilidades recém-identificadas ou novos vetores de ataque.

A iniciativa nasceu a partir do feedback de clientes, parceiros e grupos de usuários SAP ao redor do mundo, que demandavam maior previsibilidade e transparência no processo de atualização de segurança. Ao consolidar as correções em uma data fixa e conhecida, a SAP permite que as equipes de TI e segurança planejem com antecedência a aplicação de patches em seus ambientes produtivos.

Por que este dia é tão importante?

Uma vulnerabilidade não corrigida pode representar uma porta aberta para atacantes que buscam roubo de dados, fraude financeira ou interrupção de operações.

Manter os sistemas SAP atualizados com as Security Notes mais recentes é, portanto, uma das ações de segurança mais eficazes que uma organização pode adotar. A SAP recomenda fortemente que as correções sejam implementadas com prioridade.

Como funcionam as SAP Security Notes?

As SAP Security Notes são classificadas em duas categorias principais:

• Patch Day Security Notes — lançadas no dia oficial do Patch Day, são as mais críticas e devem ser implementadas com prioridade máxima.
• Support Package Security Notes — correções de menor urgência entregues junto aos pacotes de suporte (SP upgrades), permitindo implementação automatizada durante as atualizações de rotina.

Cada nota recebe uma pontuação de severidade baseada no padrão CVSS (Common Vulnerability Scoring System), que varia de 0 a 10:

• CVSS 9.0–10.0 → HotNews / Crítica — requer ação imediata
• CVSS 7.0–8.9 → Alta — deve ser corrigida com urgência
• CVSS 4.0–6.9 → Média — correção planejada no próximo ciclo
• CVSS 0.1–3.9 → Baixa — menor risco, mas deve ser tratada

A partir de junho de 2019, para notas com severidade alta ou muito alta, a SAP passou a entregar correções para pacotes de suporte lançados nos últimos 24 meses, ampliando a cobertura anterior de 18 meses — o que beneficia organizações que não estão sempre na versão mais recente.

Destaques do SAP Security Patch Day — Maio de 2026

Hoje, 12 de maio de 2026, a SAP publicou 15 novas Security Notes:

• 2 Críticas – CVSS 9.6
• 1 Alta – CVSS 8.2
• 11 Médias – CVSS 4.3–6.5
• 1 Baixa – CVSS 3.4

Sua equipe de SAP Basis pode conferir a lista completa em: SAP Security Notes & News – May 2026

Vulnerabilidades críticas e alta em destaque:

• SQL Injection no SAP S/4HANA — Nota #3724838 (CVSS 9.6)
  Esta vulnerabilidade crítica afeta o componente SAP Enterprise Search for ABAP dentro do SAP S/4HANA, em múltiplas versões do SAP_BASIS (751 a 816). Devido à falta de validação e sanitização adequada de entrada, um atacante autenticado pode injetar instruções SQL maliciosas através de campos controlados pelo usuário, com alto impacto na confidencialidade e disponibilidade dos dados da aplicação.
• Autenticação ausente no SAP Commerce Cloud — Nota #3733064 (CVSS 9.6)
  Vulnerabilidade crítica de autenticação ausente na configuração do SAP Commerce Cloud, afetando as versões HY_COM 2205, COM_CLOUD 2211 e 2211-JDK21. A exploração bem-sucedida pode permitir que usuários não autenticados acessem funcionalidades restritas, comprometendo a integridade da plataforma de e-commerce.
• OS Command Injection no SAP Forecasting & Replenishment — Nota #3732471 (CVSS 8.2)
  Vulnerabilidade de alta severidade que permite injeção de comandos do sistema operacional no módulo SAP Forecasting & Replenishment, afetando versões SCM 702 a 714. Um atacante que explore esta falha pode executar comandos arbitrários no servidor, colocando em risco a infraestrutura de supply chain.

Sua empresa está protegida?

A aplicação de patches SAP exige mais do que simplesmente baixar e instalar uma nota: é necessário analisar o impacto em cada ambiente, validar compatibilidade com personalizações, realizar testes e garantir a continuidade operacional. Erros nesse processo podem ser tão prejudiciais quanto a própria vulnerabilidade.

O Grupo BravoIT | CloudBasis conta com uma equipe de especialistas certificados em SAP Basis e segurança que acompanha cada ciclo de Patch Day, avaliando o impacto das notas no seu ambiente específico e conduzindo a implementação com segurança e precisão.

Entre em contato com nossos técnicos e saiba como podemos ajudar a manter seu ambiente SAP sempre atualizado, seguro e em conformidade.