SAP-Patchday: NetWeaver-Lücke ermöglicht Einschleusen von Schadcode

Admins von SAP-Installationen bekommen am Dienstag dieser Woche Arbeit: SAP hat Mitteilungen zu 15 Schwachstellen in Produkten des Unternehmens herausgegeben. Es handelt sich teils um kritische Schwachstellen, die das Einschleusen von Schadcode ermöglichen. Das zügige Anwenden der bereitstehenden Aktualisierungen ist daher ratsam.

Auf der Patchday-Übersichtsseite für den März listet SAP die 15 Sicherheitsmitteilungen auf. Insgesamt stufen die Entwickler zwei der Schwachstellen als Risikostufe kritisch ein, eine als hochriskant, elf als mittleren Bedrohungsgrad und eine erhält die Einordnung als niedriges Risiko.

SAP: Kritische Sicherheitslücken

Eine Codeschmuggel-Lücke in der SAP Quotation Management Insurance Application (FS-QUO) basiert auf einer Schwachstelle in einer SocketServer-Klasse in Log4j. Die deserialisiert nicht vertrauenswürdige Daten und kann zum Einschmuggeln und Ausführen von Schadcode aus dem Netz missbraucht werden. Es handelt sich nicht um die Log4Shell genannte Schwachstelle, die das Internet seit Ende 2021 beschäftigt. Sie ist sogar noch älter und wurde 2019 öffentlich bekannt (CVE-2019-17571, CVSS 9.8, Risiko „kritisch“).

In NetWeaver Enterprise Portal Administration klafft eine Sicherheitslücke, die Nutzer mit Rechten im System durch das Hochladen nicht vertrauenswürdiger oder bösartiger Inhalte missbrauchen können. Die gelangen bei der Deserialisierung zur Ausführung und haben „starken Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems“, erklärt SAP in der Schwachstellenbeschreibung (CVE-2026-27685, CVSS 9.1, Risiko „kritisch“).

Eine Schwachstelle in SAPs Supply Chain Management können Angreifer für einen Denial-of-Service-Angriff (DoS) missbrauchen. Durch wiederholtes Aufrufen einer nicht genauer genannten Funktion mit einem ausufernd großen Loop-Kontrollparameter können sie durch verlängerte Loop-Ausführungen massiv Systemressourcen belegen, bis das System nicht mehr verfügbar ist (CVE-2026-27689, CVSS 7.7, Risiko „hoch“).

Die weiteren Sicherheitslecks mit niedrigerem Bedrohungsgrad betreffen SAP NetWeaver Application Server for ABAP, SAP NetWeaver (Feedback Notification), SAP Business One (Job Service), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, SAP Customer Checkout 2.0, SAP GUI for Windows, SAP Solution Tools Plug-In (ST-PI) sowie SAP NetWeaver AS Java (Adobe Document Services).

Im Februar dieses Jahres hatte SAP zum Patchday sogar 26 Sicherheitsmitteilungen veröffentlicht. Davon galten zwei als kritisches Sicherheitsrisiko.

(dmk)