Datenschutz & Sicherheit

SAP-Patchday: Eine kritische SQL-Injection-Lücke – und 18 weitere


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

SAP kümmert sich am April-Patchday in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.

Weiterlesen nach der Anzeige

Die Patchday-Übersicht für den April von SAP listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681, CVSS 9.9, Risiko „kritisch“).

Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256, CVSS 7.1, Risiko „hoch“).

Weitere bedachte SAP-Sicherheitslücken

15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen

  • SAP BusinessObjects Business Intelligence Platform
  • SAP Human Capital Management for SAP S/4HANA
  • SAP Business Analytics and SAP Content Management
  • SAP S/4HANA OData Service (Manage Reference Equipment)
  • SAP S/4HANA Backend OData Service (Manage Reference Structures)
  • SAP S/4HANA Frontend OData Service (Manage Reference Structures)
  • SAP Supplier Relationship Management (SICF Handler in SRM Catalog)
  • SAP NetWeaver Application Server Java (Web Dynpro Java)
  • SAP NetWeaver Application Server ABAP
  • SAP HANA Cockpit und HANA Database Explorer
  • SAP S/4HANA (Private Cloud und On-Premise)
  • Material Master Application
  • SAP S/4HANA OData Service (Manage Technical Object Structures)
  • SAP BusinessObjects Business Intelligence Platform

Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.

IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.

Weiterlesen nach der Anzeige


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen