SAP® Security News - 07/2026
- vor 1 Stunde
- 3 Min. Lesezeit
Relevante Sicherheitsmeldungen und CVSS‑Bewertungen im Überblick

Im Rahmen des SAP Patchday vom Juli 2026 wurden mehrere sicherheitsrelevante Schwachstellen veröffentlicht, die Auswirkungen auf unterschiedliche SAP‑Komponenten haben können. Dieser Beitrag fasst die wichtigsten Meldungen kompakt zusammen und bewertet deren Relevanz für Ihre SAP‑Systemlandschaft.
Die Einordnung erfolgt auf Basis des CVSS‑Scores (Common Vulnerability Scoring System). Besondere Aufmerksamkeit sollten Hinweise mit einem CVSS‑Wert über 7 erhalten, da diese ein erhöhtes Sicherheitsrisiko darstellen.
Kritische Meldungen (CVSS ≥ 7,0):
Hinweisnummer:Â 3747367
Titel: [CVE-2026-44747] Speicherschadenschwachstelle in SAP NetWeaver Application Server ABAP
Symptom: SAP NetWeaver Application Server ABAP ermöglicht es einem authentifizierten Angreifer, logische Fehler im SAP Memory Management auszunutzen, um einen Speicherschaden zu verursachen. Dieser kann zu unberechtigtem Datenzugriff, Datenänderung oder Nichtverfügbarkeit des Systems führen. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
Hinweisnummer:Â 3720138
Titel: [CVE-2026-27690] HTTP Request Smuggling im SAP Approuter
Symptom: Aufgrund einer HTTP-Request-Smuggling-Schwachstelle in SAP Approuter kann ein nicht authentifizierter Angreifer einen speziell gestalteten HTTP-Request senden, der zu einer Request-Response-Desynchronisation führt. Dies kann darin resultieren, dass Benutzerantworten offengelegt werden und das System nicht mehr verfügbar ist. Dies hat große Auswirkungen auf Vertraulichkeit und Verfügbarkeit.
(CVSS 9,1)Â CEC-SCC-COM-BC-OCC
Hinweisnummer: 3753495
Titel: [CVE-2026-44761] Unsichere Beispiel-Credentials in SAP Commerce Cloud
Symptom: SAP Commerce Cloud könnte einen Beispiel-OAuth2-Client mit öffentlich dokumentierten Beispiel-Credentials beibehalten, die aus einer Beispielkonfiguration in einer SAP-Help-Portal-Dokumentation stammen. Wenn diese bekannten Credentials nicht geändert werden, kann ein nicht authentifizierter Angreifer darüber einen gültigen Zugriffstoken erlangen und bestimmte APIs zum Lesen und Ändern von Daten aufrufen. Die erfolgreiche Ausnutzung hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine Auswirkungen auf die Verfügbarkeit.
(CVSS 9,0)Â BC-JAS-WEB (Update)
Hinweisnummer: 3727078
Titel: [CVE-2026-40128] Directory-Traversal-Schwachstelle in SAP NetWeaver Application Server Java (Web-Container)
Symptom: SAP NetWeaver Application Server Java (Web-Container) ermöglicht es einem nicht authentifizierten Angreifer, eine schädliche HTTP-Anmeldeanforderung zu erstellen, die Dateieinschlussparameter manipuliert und so das Pfadtraversal und die Verarbeitung der enthaltenen Datei ermöglicht. Durch die Verarbeitung der enthaltenen Datei kann der Angreifer sensible Informationen anzeigen oder ändern oder einen Teil des lokalen Systems nicht mehr verfügbar machen.
(CVSS 8,8)Â LOD-HCI-PI-CON-SOAP
Hinweisnummer: 3758101
Titel: [CVE-2026-40860] Mehrere Schwachstellen in Apache Camel innerhalb von SAP Integration Suite (Edge Integration Cell)
Symptom:Â Der Sicherheitshinweis behandelt mehrere bekannte Schwachstellen in Apache Camel innerhalb von SAP Integration Suite. Diese Probleme wirken sich auf die nachrichtenbasierten Header-Injection- und Deserialisierungsmechanismen in Camel-Mail- und JMS-Komponenten aus. Im Hinweis finden Sie die Schwachstellendetails und die relevanten CVE-Informationen.
Hinweisnummer: 3692165
Titel: [CVE-2026-0487] DLL-Hijacking-Schwachstelle in SAProuter unter Microsoft Windows
Symptom: SAProuter unter Microsoft Windows erlaubt es einem nicht authentifizierten Angreifer, DLL-Dateien (Dynamic-Link-Library-Dateien) von einer nicht vertrauenswürdigen Quelle zu laden und so schädlichen Code auf dem System auszuführen. Dies könnte es dem Angreifer ermöglichen, den DLL-Ladeprozess zu übernehmen und beliebigen Code auszuführen. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.
Hinweisnummer: 3748227
Titel: [CVE-2026-44752] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java (Konfigurationsassistent)
Symptom: SAP NetWeaver Application Server Java ermöglicht es einem nicht authentifizierten Angreifer, schädliches JavaScript über gezielte URLs einzuschleusen. Wenn ein Opfer auf eine solche URL zugreift, wird das Skript im Browser des Benutzers ausgeführt, sodass der Angreifer auf sensible Sitzungsinformationen zugreifen und nicht sensible Daten ändern kann, die im Browser des Clients angezeigt werden. Dies hat große Auswirkungen auf die Vertraulichkeit, geringe Auswirkungen auf die Integrität ohne Auswirkungen auf die Verfügbarkeit der Anwendung.
Hinweisnummer: 3763800
Titel: [Mehrere CVEs] Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud
Symptom: Der Sicherheitshinweis behandelt mehrere bekannte Schwachstellen in Apache Tomcat, die von SAP Commerce Cloud verwendet werden. Im Hinweis finden Sie relevante CVE- und CVSS-Details für die betroffenen Schwachstellen.
Hinweisnummer: 3773304
Titel: [CVE-2026-58233] Schwachstelle bezüglich Remote-Ausführung von Code in Anhangs-Tool (ctsAttach) von SAP Change and Transport System
Symptom: Mit dem Anhangs-Tool (ctsAttach) von SAP Change and Transport System kann ein authentifizierter Angreifer eine speziell gestaltete Archivdatei bereitstellen, die bei der Verarbeitung durch die Bibliothek der Anwendung eine unsichere Deserialisierung auslösen und zur Remote-Ausführung von Code im System führen kann. Eine erfolgreiche Ausnutzung erfordert, dass ein Opfer das schädliche Archiv verarbeitet, wodurch der Angreifer die Remote-Ausführung von Code anstoßen und sensible Informationen extrahieren sowie die Kontrolle über das System und seine Prozesse erlangen kann. Diese Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Daten, während die Auswirkungen auf die Verfügbarkeit des Systems gering sind.
Eine zeitnahe Bewertung und priorisierte Umsetzung der Patches ist empfehlenswert, um potenzielle Sicherheitsrisiken zu minimieren.
Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie ganz unkompliziert einen Termin oder kontaktieren Sie uns per Mail oder telefonisch.
Folgen Sie uns gerne auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an - so verpassen Sie garantiert keine wichtigen Updates mehr!
