SAP kümmert sich am April-Patchday in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.

Die Patchday-Übersicht für den April von SAP listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681, CVSS 9.9, Risiko „kritisch“).

Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256, CVSS 7.1, Risiko „hoch“).

Weitere bedachte SAP-Sicherheitslücken

15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen

• SAP BusinessObjects Business Intelligence Platform
• SAP Human Capital Management for SAP S/4HANA
• SAP Business Analytics and SAP Content Management
• SAP S/4HANA OData Service (Manage Reference Equipment)
• SAP S/4HANA Backend OData Service (Manage Reference Structures)
• SAP S/4HANA Frontend OData Service (Manage Reference Structures)
• SAP Supplier Relationship Management (SICF Handler in SRM Catalog)
• SAP NetWeaver Application Server Java (Web Dynpro Java)
• SAP NetWeaver Application Server ABAP
• SAP HANA Cockpit und HANA Database Explorer
• SAP S/4HANA (Private Cloud und On-Premise)
• Material Master Application
• SAP S/4HANA OData Service (Manage Technical Object Structures)
• SAP BusinessObjects Business Intelligence Platform

Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.

IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.

(dmk)

Aufgrund einer Sicherheitslücke in der TLS-Bibliothek wolfSSL können Angreifer Opfer unter dem Deckmantel einer vertrauenswürdig wirkenden Verbindung auf von ihnen kontrollierte Server locken. Um das zu unterbinden, sollten Admins die dagegen abgesicherte Version installieren. In einer aktuellen Ausgabe haben die Entwickler noch weitere Lücken geschlossen.

Mehrere Sicherheitsprobleme

Wie aus dem Changelog der aktuellen Version 5.9.1 hervorgeht, haben die Entwickler sich insgesamt um 21 Sicherheitsprobleme gekümmert. Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-5194), die den Umgang mit Zertifikaten betrifft. Weil es bei über etwa ECDSA/ECC oder DSA ausgestellte Signaturen zu Fehlern kommt, können Angreifer Zertifikate manipulieren, die dann als gültig durchgewinkt werden. So können Angreifer etwa Opfer im Rahmen einer vertrauenswürdig aussehenden Verbindung auf von ihnen kontrollierte Server locken.

Neun weitere Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. Nutzen Angreifer diese Lücken erfolgreich aus, können sie Speicherfehler auslösen (etwa CVE-2026-5264). Das führt in der Regel zu Abstürzen, oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.

Setzen Angreifer an den verbleibenden Schwachstellen an, kann es ebenfalls zu Speicherfehlern (etwa CVE-2026-5392 „mittel“) kommen oder Angreifer können eigentlich verschlüsselte Inhalte im Klartext sehen (CVE-2026-5504 „mittel“).

Sicherheitspatch installieren

Bislang gibt es keine Hinweise auf Attacken. Admins sollten mit der Installation der gegen die geschilderten möglichen Angriffe gerüsteten Ausgabe aber nicht zu lange zögern. Andernfalls ist die Sicherheit von Verbindungen nicht gewährleistet.

(des)

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf sieben Sicherheitslücken in Produkten von Adobe, Fortinet und Microsoft. Eine der Schwachstellen kann bereits auf 14 Jahre Bekanntheit zurückblicken.

Die CISA nennt in ihrer Warnung wie üblich lediglich, auf welche Sicherheitslücken Angriffe beobachtet wurden. Die älteste der attackierten Lücken betrifft Microsofts Visual Basic, die auf einem unsicheren Suchpfad basiert – und bereits im Juli 2012 missbraucht wurde; sie rückte nun offenbar erneut ins Visier von Cyberkriminellen (CVE-2012-1854, CVSS2 6.9, Risiko „mittel“). Eine „Use-after-free“-Schwachstelle in Adobe Acrobat und Reader erlaubt Angreifern, Schadcode einzuschleusen und auszuführen. Darum hatte sich Adobe bereits im August 2020 gekümmert, jedoch fehlen die Updates auf manchem System (CVE-2020-9715, CVSS 7.8, Risiko „hoch“).

Microsofts Exchange-Server deserialisieren unter Umständen nicht vertrauenswürdige Daten, was Angreifer zum Ausführen von Schadcode missbrauchen – Microsoft nennt die Cybergang Storm-1175 als bösartige Akteure, die das Sicherheitsleck für Ransomware-Attacken ausnutzen (CVE-2023-21529, CVSS 8.8, Risiko „hoch“). Außerdem greifen Kriminelle eine Rechteausweitungslücke im Windows-Common-Log-File-System-Treiber an (CVE-2023-36424, CVSS 7.8, Risiko „hoch“).

Auch jüngere Schwachstellen im Visier

Im vergangenen November hat Microsoft mit Updates eine Lücke geschlossen, bei der Links vor dem Dateizugriff im Host-Prozess für Windows-Tasks falsch aufgelöst werden konnten, was die Rechteausweitung ermöglicht (CVE-2025-60710, CVSS 7.8, Risiko „hoch“). Eine im Februar bekannt gewordene Schadcode-Lücke in FortiClient EMS erlaubt zudem, Rechner vollständig zu kompromittieren. Und das machen Angreifer der CISA zufolge jetzt (CVE-2026-21643, CVSS 9.8, Risiko „kritisch“). Zudem hat die CISA die zum Wochenende gemeldete Schwachstelle aufgenommen, für die Adobe am Samstag ein Notfallupdate veröffentlicht hat und die den Tätern erlaubt, beliebigen Code einzuschleusen und auszuführen (CVE-2026-34621, CVSS 8.6, Risiko „hoch“).

Admins sowie Nutzerinnen und Nutzer sollten nachsehen, ob sie noch die betroffene Software einsetzen und die verfügbaren Updates umgehend anwenden. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC) nennt die CISA nicht, sodass unklar ist, wie sie sich erkennen lassen.

(dmk)