Aktuelle SAP® Security News - 01/2026

Willkommen zu den aktuellsten SAP Security News von entplexit.

Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.

Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

• (CVSS 9,9) FI-GL-GL-G

  3687749 [CVE-2026-0501] SQL Injection Vulnerability in SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger)

  Aufgrund einer unzureichenden Eingabevalidierung in SAP S/4HANA Private Cloud und On-Premise (Financials General Ledger) konnte ein authentifizierter Benutzer gezielte SQL-Abfragen ausführen, um Backend-Datenbankdaten zu lesen, zu ändern und zu löschen. Dies hat große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

  
  

• (CVSS 9,6) SV-SMG-DIA-WLY

  3668679 [CVE-2026-0500] Remote code execution in SAP Wily Introscope Enterprise Manager (WorkStation)

  Aufgrund einer Schwachstelle bei der Remote-Ausführung von Code in SAP Wily Introscope Enterprise Manager kann ein nicht authentifizierter Angreifer eine schädliche JNLP-Datei (Java Network Launch Protocol) anlegen, auf die über eine URL zugegriffen werden kann. Wenn ein Opfer auf die URL klickt, kann der aufgerufene Wily-Introscope-Server Befehle in der Opferanwendung ausführen. Dies könnte die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung vollständig beeinträchtigen.

• (CVSS 9,1) CA-LT-ANA

  3697979 [CVE-2026-0491] Code Injection vulnerability in SAP Landscape Transformation

  SAP Landscape Transformation ermöglicht es einem Angreifer mit Administratorberechtigungen, eine Schwachstelle im Funktionsbaustein auszunutzen, der über RFC exponiert wird. Dieser Fehler ermöglicht die Einschleusung von beliebigen ABAP-Code/BS-Befehlen in das System und umgeht wesentliche Berechtigungsprüfungen. Diese Schwachstelle fungiert effektiv als Backdoor, was das Risiko einer vollständigen Systemkompromittierung birgt und die Vertraulichkeit, Integrität und Verfügbarkeit des Systems untergräbt.

• (CVSS 9,1) CA-DT-ANA

  3694242 [CVE-2026-0498] Code Injection vulnerability in SAP S/4HANA (Private Cloud and On-Premise)

  SAP S/4HANA (Private Cloud und On-Premise) ermöglicht es einem Angreifer mit Administratorberechtigungen, eine Schwachstelle in dem über RFC exponierten Funktionsbaustein auszunutzen. Dieser Fehler ermöglicht die Einschleusung von beliebigen ABAP-Code/BS-Befehlen in das System und umgeht wesentliche Berechtigungsprüfungen. Diese Schwachstelle fungiert effektiv als Backdoor, was das Risiko einer vollständigen Systemkompromittierung birgt und die Vertraulichkeit, Integrität und Verfügbarkeit des Systems untergräbt.

  
  

• (CVSS 8,8) HAN-DB-SEC

  3691059 [CVE-2026-0492] Privilege escalation vulnerability in SAP HANA database

  Die SAP-HANA-Datenbank ist anfällig für eine Berechtigungseskalation, die es einem Angreifer mit gültigen Anmeldeinformationen eines beliebigen Benutzers ermöglicht, zu einem anderen Benutzer zu wechseln, der möglicherweise administrativen Zugriff erhält. Diese Ausnutzung könnte zu einer völligen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.

  
  

• (CVSS 8,4) BC-MID-RFC-SDK

  3675151 [CVE-2026-0507] OS Command Injection vulnerability in SAP Application Server for ABAP and SAP NetWeaver RFCSDK

  Aufgrund einer BS-Command-Injection-Schwachstelle in SAP Application Server für ABAP und SAP NetWeaver RFCSDK kann ein authentifizierter Angreifer mit administrativem Zugriff und angrenzendem Netzwerkzugriff speziell gestalteten Inhalt auf den Server hochladen. Wenn dieser Inhalt von der Anwendung verarbeitet wird, ermöglicht er die Ausführung beliebiger Betriebssystembefehle. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.

  
  

• (CVSS 8,1) BC-DWB-DIC-F4

  3688703 [CVE-2026-0506] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform

  Aufgrund einer Schwachstelle bezüglich einer fehlenden Berechtigungsprüfung in Application Server ABAP und der ABAP-Plattform kann ein authentifizierter Angreifer eine RFC-Funktion missbrauchen, um Formroutinen (FORMs) im ABAP-System auszuführen. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, Daten zu schreiben oder zu ändern, auf die über FORMs zugegriffen werden kann, und Systemfunktionen aufzurufen, die über FORMs exponiert werden, was zu hohen Auswirkungen auf die Integrität und Verfügbarkeit führt, während die Vertraulichkeit nicht beeinträchtigt wird.

  
  

• (CVSS 8,1) FI-LOC-FI-RU

  3565506 [CVE-2026-0511] Multiple vulnerabilities in SAP Fiori App (Intercompany Balance Reconciliation)

  Dieser Sicherheitshinweis behandelt drei Schwachstellen in der SAP-Fiori-App "Konzernabstimmung".

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!