SAP® Security News - 04/2026

Relevante Sicherheitsmeldungen und CVSS‑Bewertungen im Überblick

Im Rahmen des SAP Patchday vom April 2026 wurden mehrere sicherheitsrelevante Schwachstellen veröffentlicht, die Auswirkungen auf unterschiedliche SAP‑Komponenten haben können. Dieser Beitrag fasst die wichtigsten Meldungen kompakt zusammen und bewertet deren Relevanz für Ihre SAP‑Systemlandschaft.

Die Einordnung erfolgt auf Basis des CVSS‑Scores (Common Vulnerability Scoring System). Besondere Aufmerksamkeit sollten Hinweise mit einem CVSS‑Wert über 7 erhalten, da diese ein erhöhtes Sicherheitsrisiko darstellen.

Kritische Meldungen (CVSS ≥ 7,0):

• (CVSS 9,9) EPM-BPC-NW-SQE

  Hinweisnummer: 3698553

  Titel: [CVE-2026-27681] SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse

  Beschreibung: Aufgrund unzureichender Berechtigungsprüfungen in SAP Business Planning and Consolidation und SAP Business Warehouse kann ein authentifizierter Benutzer gezielte SQL-Anweisungen ausführen, um Datenbankdaten zu lesen, zu ändern und zu löschen. Dies hat große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

• (CVSS 7,1) CA-JVA-JVA

  Hinweisnummer: 3731908

  Titel: [CVE-2026-34256] Fehlende Berechtigungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise)

  Beschreibung: Aufgrund einer fehlenden Berechtigungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise) könnte ein authentifizierter Angreifer einen bestimmten ABAP-Report ausführen, um ohne Berechtigung einen beliebigen vorhandenen, acht Zeichen langen ausführbaren ABAP-Report zu überschreiben. Wird der überschriebene Report anschließend ausgeführt, ist die vorgesehene Funktion möglicherweise nicht länger verfügbar. Eine erfolgreiche Ausnutzung beeinträchtigt die Verfügbarkeit, wobei sich die Auswirkungen auf die Integrität auf den betroffenen Report beschränken, während die Vertraulichkeit unbeeinträchtigt bleibt.

Eine zeitnahe Bewertung und priorisierte Umsetzung der Patches ist empfehlenswert, um potenzielle Sicherheitsrisiken zu minimieren.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie ganz unkompliziert einen Termin oder kontaktieren Sie uns per Mail oder telefonisch.

Folgen Sie uns gerne auf LinkedIn und melden sich zu unserem monatlichen Patchday-Newsletter an - so verpassen Sie garantiert keine wichtigen Updates mehr!