Datenschutz & Sicherheit

SAP-Patchday: Teils kritische Sicherheitslücken in mehreren Produkten gefixt


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Entwickler von SAP haben zum Patchday im Juli 16 neue Sicherheitsnotizen veröffentlicht. Davon behandeln drei als kritisches Risiko eingestufte Schwachstellen in mehreren Produkten.

Weiterlesen nach der Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Meldungen säuberlich auf. Kurz vor Höchstwertung landet ein möglicher Speicherzugriffsfehler aufgrund von Logikfehlern in der Speicherverwaltung von SAP NetWeaver Application Server ABAP, durch den angemeldete Angreifer unbefugt auf Daten zugreifen und diese etwa verändern oder gar einen Denial-of-Service provozieren können (CVE-2026-44747, CVSS 9.9, Risiko „kritisch“). In SAP Approuter können hingegen bösartige Akteure HTTP-Anfragen einschleusen, durch die nicht authentifizierte Angreifer die Synchronisation von Anfragen und Antworten aus dem Tritt bringen können. Das führt zur Offenlegung von User-Antworten oder zum Lahmlegen des Systems (CVE-2026-27690, CVSS 9.1, Risiko „kritisch“). Ein voreingestelltes und öffentlich dokumentiertes Beispiel-Konto für den OAuth2-Client gefährdet zudem die Sicherheit der SAP Commerce Cloud. Angreifer können sich damit anmelden und Daten lesen und manipulieren, erklärt SAP (CVE-2026-44761, CVSS 9.1, Risiko „kritisch“).

Die Apache-Camel-Komponente der SAP Integration Suite reißt mehrere Sicherheitslücken auf (CVE-2026-40453, CVE-2026-33454; bis CVSS 8.8, Risiko „hoch“). Außerdem hat der SAProuter unter Windows eine DLL-Hijacking-Schwachstelle (CVE-2026-0487, CVSS 8.4, Risiko „hoch“). In SAP NetWeaver Application Server Java(Configuration Wizard) klafft eine Cross-Site-Scripting-Lücke (CVE-2026-44752, CVSS 8.2, Risiko „hoch“), zudem agiert der SAP Approuter unter Umständen als Open Redirect (CVE-2026-44745, CVSS 8.1, Risiko „hoch“). Der Apache-Tomcat-Server der SAP Commerce Cloud reißt ebenfalls mehrere Lücken auf (CVE-2026-43512, CVE-2026-41293, CVE-2026-43515; bis CVSS 8.1, Risiko „hoch“). Das SAP Change and Transport System Attach Tool (ctsattach) enthält zudem eine Codeschmuggel-Lücke (CVE-2026-58233, CVSS 7.6, Risiko „hoch“).

Sicherheitslücken mit mittlerem Bedrohungsgrad betreffen SAP NetWeaver Enterprise Portal, ui5/webcomponents-base, SAP S/4HANA Project Management (PPM-PRO), SAP NetWeaver Application Server ABAP (applications based on Business Server Pages), SAP S/4HANA (Draft operation), S/4 HANA (Create Single Payment) sowie SAP CRM (WebClient UI). In SAP HANA Extended Application Services classic model (User Self Service) haben die Programmierer zudem eine als „niedriges“ Risiko eingestufte Lücke geschlossen.

IT-Verantwortliche sollten die bereitstehenden Updates zügig anwenden, um die Angriffsfläche in ihren Netzen zu minimieren. Der SAP-Patchday im Juni hatte einen ähnlichen Umfang. Dort hatten die Programmierer 15 Sicherheitslücken ausgebessert, wovon ebenfalls drei als kritisch eingestuft wurden.


(dmk)



Source link

Beliebt

Die mobile Version verlassen