Aktuelle SAP® Security News - 02/2026

Willkommen zu den aktuellsten SAP Security News von entplexit.

Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.

Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

• (CVSS 9,9) CRM-IC-FRW

  3697099 [CVE-2026-0488] Code Injection vulnerability in SAP CRM and SAP S/4HANA (Scripting Editor)

  Ein authentifizierter Angreifer in SAP CRM und SAP S/4HANA (Scripting-Editor) könnte einen Fehler in einem generischen Funktionsbausteinaufruf ausnutzen und nicht autorisierte kritische Funktionen ausführen, einschließlich der Möglichkeit, eine beliebige SQL-Anweisung auszuführen. Dies führt zu einem vollständigen Datenbankkompromiss mit großen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

  
  

• (CVSS 9,6) BC-MID-RFC

  3674774 [CVE-2026-0509] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform

  SAP NetWeaver Application Server ABAP und die ABAP-Plattform ermöglichen es einem authentifizierten Benutzer mit niedriger Berechtigung, in bestimmten Fällen Background Remote Function Calls ohne die erforderliche S_RFC-Berechtigung auszuführen. Dies kann große Auswirkungen auf die Integrität und Verfügbarkeit und keine Auswirkungen auf die Vertraulichkeit der Anwendung haben.

  
  

• (CVSS 8,8) BC-SEC-WSS

  3697567 [CVE-2026-23687] XML Signature Wrapping in SAP NetWeaver AS ABAP and ABAP Platform

  SAP NetWeaver Application Server ABAP und die ABAP-Plattform ermöglichen es einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültige signierte Nachricht zu erhalten und modifizierte signierte XML-Dokumente an den Verifier zu senden. Dies kann zur Akzeptanz manipulierter Identitätsinformationen, eines unberechtigten Zugriffs auf sensible Benutzerdaten und einer potenziellen Unterbrechung der normalen Systemnutzung führen.

• (CVSS 7,7) SCM-APO-CA-COP

  3703092 [CVE-2026-23689] Denial of service (DOS) in SAP Supply Chain Management

  Aufgrund einer unkontrollierten Ressourcenverbrauchsschwachstelle (Denial of Service) kann ein authentifizierter Angreifer mit regulären Benutzerberechtigungen und Netzwerkzugriff wiederholt einen remote-fähigen Funktionsbaustein mit einem zu großen Schleifensteuerungsparameter aufrufen. Dies löst eine längere Schleifenausführung aus, die übermäßige Systemressourcen verbraucht und das System möglicherweise nicht verfügbar macht. Eine erfolgreiche Ausnutzung führt zu einer Denial-of-Service-Bedingung, die sich auf die Verfügbarkeit auswirkt, während Vertraulichkeit und Integrität nicht beeinträchtigt werden.

  
  

• (CVSS 7,7) SV-SMG-SDD

  3705882 [CVE-2026-24322] Missing Authorization check in SAP Solution Tools Plug-In (ST-PI)

  Das SAP Solution Tools Plug-In (ST-PI) enthält einen Funktionsbaustein, der nicht die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer durchführt, sodass sensible Informationen offengelegt werden können. Diese Schwachstelle hat große Auswirkungen auf die Vertraulichkeit und hat keine Auswirkungen auf die Integrität oder Verfügbarkeit.

  
  

• (CVSS 7,5) BI-BIP-SRV

  3678282 [CVE-2026-0485] Denial of service (DOS) vulnerability in SAP BusinessObjects BI Platform

  Die SAP-BusinessObjects-BI-Plattform ermöglicht es einem nicht authentifizierten Angreifer, speziell gestaltete Anforderungen zu senden, die zum Absturz des Content Management Server (CMS) und zum automatischen Neustart führen können. Durch das wiederholte Absenden dieser Requests könnte der Angreifer eine persistente Serviceunterbrechung auslösen, wodurch der CMS vollständig nicht verfügbar ist. Eine erfolgreiche Ausnutzung hat große Auswirkungen auf die Verfügbarkeit, während Vertraulichkeit und Integrität nicht beeinträchtigt werden.

  
  

• (CVSS 7,5) BI-BIP-SRV

  3654236 [CVE-2026-0490] Denial of service (DOS) in SAP BusinessObjects BI Platform

  Die SAP-BusinessObjects-BI-Plattform ermöglicht es einem nicht authentifizierten Angreifer, eine bestimmte Netzwerkanforderung an den vertrauenswürdigen Endpunkt zu erstellen, die die Authentifizierung unterbricht, wodurch die rechtmäßigen Benutzer am Zugriff auf die Plattform gehindert werden. Dadurch hat sie große Auswirkungen auf die Verfügbarkeit, aber keine Auswirkungen auf die Vertraulichkeit und Integrität.

  
  

• (CVSS 7,4) CEC-SCC-PLA-PL

  3692405 [CVE-2025-12383] Race Condition in SAP Commerce Cloud

  Unter bestimmten Bedingungen ermöglicht SAP Commerce Cloud einem authentifizierten Benutzer, die SSL-Vertrauensvalidierung für ausgehende Verbindungen aufgrund einer Race-Bedingung in der Eclipse-Jersey-Bibliothek (CVE-2025-12383) zu umgehen, was hohe Auswirkungen auf die Vertraulichkeit und Integrität und keine Auswirkungen auf die Verfügbarkeit der Anwendung hat.

• (CVSS 7,3) BI-BIP-SEC

  3674246 [CVE-2026-0508] Open Redirect vulnerability in SAP BusinessObjects Business Intelligence Platform

  Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht es einem authentifizierten Angreifer mit hohen Berechtigungen, schädliche URLs in die Anwendung einzufügen. Nach erfolgreicher Ausnutzung kann das Opfer auf diese schädliche URL klicken, was zu einer nicht validierten Umleitung zur durch Angreifer kontrollierten Domäne führt und anschließend die schädlichen Inhalte herunterlädt. Diese Schwachstelle hat große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, ohne dass sich dies auf die Verfügbarkeit der Anwendung auswirkt.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!