SAP schliesst kritische Sicherheitslücken
SAP hat im Rahmen seines monatlichen Patch Days 15 neue Sicherheitshinweise veröffentlicht. Zwei der geschlossenen Lücken stuft der Softwarehersteller als kritisch ein und rät zur umgehenden Installation der Patches.
SAP hat im Rahmen seines März-Patchdays 2026 15 neue Sicherheitshinweise publiziert. Darunter befinden sich zwei als "kritisch" klassifizierte Lücken, wie der Softwarehersteller mitteilt. Die Sicherheitsupdates beziehen sich auf verschiedene SAP-Produkte.
Zudem aktualisierte SAP laut Onapsis Research Labs fünf ältere Sicherheitshinweise. Darunter die Schwachstelle CVE-2026-23687, die mit einem CVSS-Score von 8,8 als "hoch" eingestuft ist.
Die schwerwiegendste neue Lücke (CVSS-Score 9,8, CVE-2019-17571) ermöglicht Code-Injections in der Anwendung SAP Quotation Management Insurance. Ursache ist laut den Forschenden von Onapsis die Nutzung einer veralteten Version von Apache Log4j. Die Lücke erlaubt es Angreifenden ohne Authentifizierung, aus der Ferne beliebigen Code auf dem Server auszuführen, was die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung gefährdet.
Die zweite kritische Schwachstelle (CVSS-Score 9,1, CVE-2026-27685) steckt in der Administration des SAP-Netweaver-Enterprise-Portals. Eine unzureichende Überprüfung beim Herunterladen von Inhalten verursacht hier dieses Problem. Über diese Schwachstelle können Angreifer bösartige Elemente direkt in das Netzwerk einschleusen.
Die Schwachstelle CVE-2026-27689 ist mit 7,7 als "hoch" eingestuft. Diese Lücke setzt die Komponente SAP Supply Chain Management einer Denial-of-Service-Gefahr aus.
Die übrigen zwölf Sicherheitshinweise schliessen Lücken mit mittlerem und geringem Risiko (CVSS-Scores von 3,5 bis 6,4). Dazu zählen unter anderem fehlende Berechtigungsprüfungen und SQL-Injection-Schwachstellen in Produkten wie SAP Netweaver, SAP Business One und SAP Business Warehouse.
Das könnte Sie auch interessieren: Convotis hat sich Anfang 2026 von seiner SAP Business Unit getrennt. Dabei stehen nun KI-Lösungen, souveräne Cloud-Plattformen und Cybersecurity im Fokus. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
R&M passt nach Umsatzrückgang die Strategie an
Update: Stände- und Nationalrat einigen sich (fast) in Sachen E-Collecting
Ihr Schweizer Microsoft Partner für digitale Verwaltung & Souveränität
Von offenen Quellen und heiklen Daten
Jason feiert Lieblingstag
Update: Basel-Stadt pausiert E-Voting – drei Kantone machen weiter
Probelauf für die E-ID
Meta schnappt sich das virale KI-Netzwerk Moltbook
Update: Bechtles Index für digitale Souveränität kommt auf den Markt
