SAP-Patchday: Kritische Lücken in SAP NetWeaver und weitere Schwachstellen

SAP hat zum Juni-Patchday am Dienstagmorgen 15 neue Sicherheitsnotizen veröffentlicht. Sie behandeln teils kritische Sicherheitslücken in der Software, gleich drei davon betreffen SAP NetWeaver.

In der Übersicht zum SAP-Patchday sticht eine Schwachstelle in NetWeaver Application Server ABAP und ABAP Platform hervor, die authentifizierten Angreifern mit normalen Rechten ermöglicht, signierte Nachrichten zu erhalten und veränderte signierte XML-Dokumente an der „Verifier“ zu senden. Das kann dazu führen, dass die verfälschten Identitätsinformationen akzeptiert werden und Angreifer unbefugten Zugriff auf sensible Nutzerdaten erhalten sowie die normale Systemnutzung stören (CVE-2026-44748, CVSS 9.9, Risiko „kritisch“).

Angreifer können zudem eine unzureichende RFC-Protokoll-Prüfung im SAP-Kernel vom NetWeaver Application Server ABAP und der ABAP Platform missbrauchen, um mit manipulierten Paketen ohne vorherige Authentifizierung Logikfehler in der Speicherverwaltung auslösen. SAP spricht von Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit der Applikation. Aufgrund des Schweregrads scheint es sich nicht nur um eine DoS-Lücke zu handeln, sondern das Einschleusen von Schadcode zu ermöglichen (CVE-2026-27671, CVSS 9.8, Risiko „kritisch“).

In SAP NetWeaver Application Server Java (Web Container) können bösartige Akteure eine HTTP-Login-Anfrage präparieren, die Datei-Inklusions-Parameter manipuliert und dadurch eine sogenannte Path Traversal nutzt sowie die Verarbeitung der mitgelieferten Datei auslöst. Dadurch können Angreifer möglicherweise sensible Informationen einsehen oder verändern sowie das System lahmlegen (CVE-2026-40128, CVSS 9.0, Risiko „kritisch“). Eine Sicherheitslücke in Spring Security, die bestimmte HTTP-Header missbrauchen können, betrifft außerdem SAP Commerce Cloud und SAP Data Hub (CVE-2026-22732, CVSS 9.1, Risiko „kritisch“).

Weitere weniger schwerwiegende Sicherheitslücken

Außerdem hat SAP noch Updates für weitere Sicherheitslecks in in petto. Die Sicherheitsnotizen und zugehörige Aktualisierung verlinkt SAP in der Patchday-Übersicht. Admins sollten prüfen, ob sie verwundbare SAP-Software einsetzen, und die verfügbaren Aktualisierungen zügig anwenden.

• Apache Tomcat in der SAP Commerce Cloud,
• Application Server ABAP von SAP NetWeaver und ABAP Platform,
• ODP Data Replication APIs,
• SAP S/4HANA,
• SAP NetWeaver AS Java (JDBC Test Servlet),
• SAP Wily Introscope Enterprise Manager,
• SAP MDG (Review Match Groups Application),
• SAP Business Objects Business Intelligence Platform,
• SAP Fiori (launchpad),
• SAP Business Objects und
• SAP NetWeaver AS Java

Auch im Mai hatte SAP sich am Patchday um 15 Sicherheitslücken gekümmert. Zwei davon galten als kritisch und ermöglichten Unbefugten etwa die Anmeldung oder SQL-Injection-Angriffe.

(dmk)