SAP-Sicherheitshinweise: Patch-Tag im Januar 2026
Das neue SAP-Sicherheitsjahr beginnt mit vier neuen HotNews -Meldungen
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:
- Zusammenfassung für Januar – Neunzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews- Hinweise und vier Hinweise mit hoher Priorität
- Kritische SQL-Injection-Sicherheitslücke in S/4HANA – Eine Ausnutzung kann dazu führen, dass Benutzer mit geringen Berechtigungen das gesamte System kompromittieren
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, neun Sicherheitslücken zu beheben, die in sieben SAP-Sicherheitshinweisen behandelt wurden
Das neue SAP-Sicherheitsjahr beginnt mit neunzehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter sechs HotNews-Hinweise und vier Hinweise mit hoher Priorität. Sieben der siebzehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Die Onapsis Research Labs(ORL) unterstützten SAP bei der Behebung von drei der vier neuen HotNews-Hinweise:
Der SAP-Sicherheitshinweis Nr. 3687749, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine kritische SQL-Injection-Sicherheitslücke in SAP S/4HANA Private Cloud On-Premise (Finanzwesen – Hauptbuch). Das ORL-Team identifizierte einen RFC-fähigen Funktionsbaustein, der das ABAP Database Connectivity (ADBC)-Framework nutzt, um eine native SQL-Anweisung auszuführen. Diese SQL-Anweisung wird über einen Eingabeparameter bereitgestellt und ermöglicht es einem Angreifer, beliebige SQL-Befehle auszuführen. Bei erfolgreicher Ausnutzung kann das System vollständig kompromittiert werden.
Der SAP-Sicherheitshinweis Nr. 3668679, der mit einem CVSS-Wert von 9,6 versehen ist, beschreibt eine Sicherheitslücke im SAP Wily Introscope Enterprise Manager (WorkStation), die die Ausführung von Remote-Code ermöglicht. Das ORL-Team hat festgestellt, dass die Anwendung es einem nicht authentifizierten Angreifer ermöglicht, bösartige JNLP-Dateien (Java Network Launch Protocol) zu erstellen, auf die über eine URL zugegriffen werden kann. Wenn ein Opfer auf die URL klickt, könnte der aufgerufene Wily Introscope Server Befehle auf der Anwendung des Opfers ausführen. Dies könnte die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung vollständig gefährden.
Der SAP-Sicherheitshinweis Nr. 3694242, der mit einem CVSS-Wert von 9,1 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke in SAP S/4HANA Private Cloud On-Premise. Unser Team hat ein remote-fähiges Funktionsmodul identifiziert, das es einem Angreifer mit Administratorrechten ermöglicht, den Quellcode bestehender Programme willkürlich zu verändern, ohne dass wesentliche Authentifizierungsprüfungen durchgeführt werden. Diese Injektion kann unter anderem direkt zur Ausführung von Betriebssystembefehlen und damit zu einer vollständigen Kompromittierung des Systems führen.
Der SAP-Sicherheitshinweis Nr. 3697979, der mit einem CVSS-Wert von 9,1 bewertet wurde, behebt die Schwachstelle in demselben Funktionsbaustein für eigenständige SAP Landscape Transformation (SLT)-Server sowie für andere Systeme, in denen die betroffene Komponente als separates DMIS-Add-on ausgeliefert wird.
Die SAP HotNews-Hinweise Nr. 3683579 und Nr. 3685286 wurden ursprünglich am SAP-Patch-Day im Dezember veröffentlicht. SAP hat nun dem Hinweis Nr . 3683579 eine vorübergehende Abhilfemaßnahme und dem Hinweis Nr. 3685286 einen Knowledge-Base-Artikel (KBA) hinzugefügt.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3691059, der mit einem CVSS-Wert von 8,8 bewertet wurde, behandelt eine Sicherheitslücke in der SAP-HANA-Datenbank, die eine Rechteausweitung ermöglicht. Die Sicherheitslücke ermöglicht es einem Angreifer mit gültigen Anmeldedaten, sich als anderer Benutzer anzumelden und so möglicherweise Administratorrechte zu erlangen. Ein erfolgreicher Angriff könnte zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.
Der SAP-Sicherheitshinweis Nr. 3675151, der mit einem CVSS-Wert von 8,4 bewertet wurde, behebt eine Sicherheitslücke im Zusammenhang mit der Einschleusung von Betriebssystembefehlen im SAP Application Server für ABAP und im SAP NetWeaver RFCSDK. Die Sicherheitslücke ermöglicht es einem Angreifer mit Administratorrechten und angrenzendem Netzwerkzugriff, speziell gestaltete Inhalte auf den Server hochzuladen. Werden diese Inhalte von der Anwendung verarbeitet, können dadurch beliebige Betriebssystembefehle ausgeführt werden. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.
Eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung in SAP NetWeaver Application Server ABAP und ABAP Platform durch den SAP-Sicherheitshinweis Nr. 3688703 behoben, der mit einem CVSS-Wert von 8,1 bewertet ist. Aufgrund dieser Sicherheitslücke könnte ein authentifizierter Angreifer ein remote-fähiges Funktionsmodul missbrauchen, um vorhandene Formularroutinen (FORMs) im ABAP-System auszuführen, was möglicherweise erhebliche Auswirkungen auf die Integrität und Verfügbarkeit haben könnte.
Der SAP-Sicherheitshinweis Nr. 3565506, der mit einem CVSS-Wert von 8,1 versehen ist, behebt drei Sicherheitslücken in der SAP-Fiori-App (Intercompany Balance Reconciliation). Diese sind unter den Kennungen CVE-2026-0511, CVE-2026-0496 und CVE-2026-0495 erfasst. Der CVSS-Score von 8,1 ergibt sich aus einer Schwachstelle aufgrund fehlender Autorisierung, die zu einer Rechteausweitung für einen authentifizierten Benutzer führen könnte.
Beitrag von Onapsis
Die Onapsis Research Labs ORL) leisteten einen wesentlichen Beitrag zum ersten Patch Day von SAP im Jahr 2026. Neben drei HotNews-Hinweisen unterstützte das ORL SAP bei der Behebung von drei SAP-Sicherheitshinweisen mit mittlerer Priorität und einem mit niedriger Priorität:
Der SAP-Sicherheitshinweis Nr. 3666061, der mit einem CVSS-Wert von 6,1 versehen ist, verweist auf zwei Patches für den SAP Business Connector (BC), die installiert werden müssen, um vollständigen Schutz vor einer vom ORL entdeckten Cross-Site-Scripting-Schwachstelle (XSS) zu gewährleisten. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, einen bösartigen Link zu erstellen. Wenn ein ahnungsloser Benutzer auf diesen Link klickt, wird er möglicherweise auf eine vom Angreifer kontrollierte Website umgeleitet. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, auf Informationen im Zusammenhang mit dem Webclient zuzugreifen oder diese zu verändern, was die Vertraulichkeit und Integrität beeinträchtigt, ohne die Verfügbarkeit zu beeinträchtigen.
Unser ORL-Team hat drei ICF-Services in SAP Supplier Relationship Management identifiziert, die von einer Open-Redirect-Sicherheitslücke im SICF-Handler des SRM-Katalogs betroffen sind. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, eine bösartige URL zu erstellen, die das Opfer bei Aufruf auf eine vom Angreifer kontrollierte Website umleitet. Der SAP-Sicherheitshinweis Nr . 3638716, der mit einem CVSS-Score von 4,7 versehen ist, behebt die Sicherheitslücke und führt eine Positivliste zulässiger Portaldomänen ein.
Der SAP-Sicherheitshinweis Nr. 3677111, der mit einem CVSS-Wert von 4,3 versehen ist, behebt eine fehlende Berechtigungsprüfung in der Business Server Pages-Anwendung (Product Designer Web UI). Das ORL-Team meldete SAP, dass es mit einem authentifizierten Benutzer ohne Administratorrechte auf nicht sensible Informationen zugreifen konnte.
Der SAP-Sicherheitshinweis Nr. 3657998, der mit einem CVSS-Wert von 3,8 bewertet wurde, behebt eine Schwachstelle im Zusammenhang mit einer unzureichenden Eingabeverarbeitung bei JNDI-Operationen in SAP Identity Management. Bleibt die Schwachstelle ungepatcht, kann ein authentifizierter Administrator speziell gestaltete, bösartige REST-Anfragen senden, die von JNDI-Operationen ohne angemessene Eingabeneutralisierung verarbeitet werden.
Zusammenfassung und Schlussfolgerungen
Der erste SAP Patch Day des Jahres zeigt, dass sich die Mission unseres Onapsis Research Labs bei Onapsis Research Labs auch im Jahr 2026 nicht geändert hat. Mit neun gemeldeten Sicherheitslücken, die in sieben SAP-Sicherheitshinweisen behandelt wurden, hat das Team erneut einen wesentlichen Beitrag zu mehr Sicherheit für SAP-Kunden geleistet.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3687749 | Neu | [CVE-2026-0501] SQL-Injection-Sicherheitslücke in SAP S/4HANA Private Cloud On-Premise (Finanzwesen – Hauptbuch) FI-GL-GL-G | Aktuelles | 9.9 |
| 3683579 | Aktualisierung | Mehrere Sicherheitslücken in Apache Tomcat innerhalb der SAP Commerce Cloud CEC-SCC-PLA-PL | Aktuelles | 9.6 |
| 3668679 | Neu | [CVE-2026-0500] Remote-Codeausführung in SAP Wily Introscope Enterprise Manager (WorkStation) SV-SMG-DIA-WLY | Aktuelles | 9.6 |
| 3685286 | Aktualisierung | [CVE-2025-42928] Deserialisierungsschwachstelle in SAP jConnect – SDK für ASE BC-SYB-SDK | Aktuelles | 9.1 |
| 3697979 | Neu | [CVE-2026-0491] Sicherheitslücke durch Code-Injektion in der SAP-Landschaftstransformations- CA-LT-ANA | Aktuelles | 9.1 |
| 3694242 | Neu | [CVE-2026-0498] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud On-Premise) CA-DT-ANA | Aktuelles | 9.1 |
| 3691059 | Neu | [CVE-2026-0492] Sicherheitslücke durch Rechteausweitung im SAP-HANA-Datenbank- -HAN-DB-SEC | Hoch | 8.8 |
| 3675151 | Neu | [CVE-2026-0507] Sicherheitslücke durch OS-Befehlsinjektion im SAP Application Server für ABAP und im SAP NetWeaver RFCSDK BC-MID-RFC-SDK | Hoch | 8.4 |
| 3688703 | Neu | [CVE-2026-0506] Fehlende Autorisierungsprüfung in SAP NetWeaver Application Server ABAP und Platform- BC-DWB-DIC-F4 | Hoch | 8.1 |
| 3565506 | Neu | [CVE-2026-0511] Mehrere Sicherheitslücken in der SAP-Fiori-App (Intercompany Balance Reconciliation) FI-LOC-FI-RU | Hoch | 8.1 |
| 3681523 | Neu | [CVE-2026-0503] Fehlende Berechtigungsprüfung in SAP ERP Central Component und SAP S/4HANA (SAP EHS Management) EHS-SAF | Mittel | 6.4 |
| 3687372 | Neu | [CVE-2026-0499] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Enterprise Portal EP-PIN-NAV | Mittel | 6.1 |
| 3666061 | Neu | [CVE-2026-0514] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Business Connector BC-MID-BUS | Mittel | 6.1 |
| 3638716 | Neu | [CVE-2026-0513] Sicherheitslücke durch offene Weiterleitung in SAP Supplier Relationship Management (SICF-Handler im SRM-Katalog) SRM-EBP-CAT | Mittel | 4.7 |
| 3655229 | Neu | [CVE-2026-0493] Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) in der SAP-Fiori-App (Intercompany Balance Reconciliation) FI-LOC-FI-RU | Mittel | 4.3 |
| 3677111 | Neu | [CVE-2026-0497] Fehlende Autorisierungsprüfung in der Business Server Pages-Anwendung (Product Designer Web UI) PLM-PPM-PDN | Mittel | 4.3 |
| 3655227 | Neu | [CVE-2026-0494] Sicherheitslücke durch Offenlegung von Informationen in der SAP-Fiori-App (Intercompany Balance Reconciliation) FI-LOC-FI-RU | Mittel | 4.3 |
| 3657998 | Neu | [CVE-2026-0504] Unzureichende Eingabeverarbeitung bei JNDI-Operationen in SAP Identity Management BC-IAM-IDM | Niedrig | 3.8 |
| 3593356 | Neu | [CVE-2026-0510] Veralteter Verschlüsselungsalgorithmus im NW AS Java UME-Benutzerzuordnungs- BC-JAS-SEC-UME | Niedrig | 3.0 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“.
Häufig gestellte Fragen
Wie viele Sicherheitshinweise wurden am Patch Day im Januar 2026 veröffentlicht?
In diesem Monat wurden insgesamt 19 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht. Darunter befinden sich sechs „HotNews“-Hinweise (höchste Kritikalitätsstufe) und vier Hinweise mit hoher Priorität.
Welche Sicherheitslücke stellt in diesem Monat das größte Risiko dar?
Das kritischste Problem ist der SAP-Sicherheitshinweis Nr. 3687749, der einen CVSS-Wert von 9,9 erhielt. Dieser Hinweis betrifft eine kritische SQL-Injection-Sicherheitslücke in SAP S/4HANA (Finanzwesen – Hauptbuch). Bei Ausnutzung dieser Schwachstelle könnte ein Benutzer mit geringen Berechtigungen beliebige SQL-Befehle ausführen und die vollständige Kontrolle über das System erlangen.
Welchen Beitrag hat Onapsis Research Labs zu diesem Patch-Tag Onapsis Research Labs ?
Die Onapsis Research Labs ORL) spielten eine wichtige Rolle und trugen zur Behebung von neun Sicherheitslücken bei, die in sieben SAP-Sicherheitshinweisen behandelt wurden. Insbesondere unterstützte das ORL-Team SAP bei der Behebung von drei der vier neuen HotNews-Hinweise, die in diesem Monat veröffentlicht wurden.
Gibt es kritische Sicherheitslücken, die eine Remote-Codeausführung (RCE) ermöglichen?
Ja. Der SAP-Sicherheitshinweis Nr. 3668679 (CVSS 9.6) behandelt eine RCE-Sicherheitslücke im SAP Wily Introscope Enterprise Manager. Die Onapsis Research Labs , dass ein nicht authentifizierter Angreifer schädliche JNLP-Dateien erstellen könnte; wenn ein Opfer mit der schädlichen URL interagiert, könnte der Angreifer Befehle auf der Anwendung des Opfers ausführen und so deren Vertraulichkeit, Integrität und Verfügbarkeit gefährden.
Welche SAP-S/4HANA-Sicherheitslücken wurden von Onapsis identifiziert?
Zusätzlich zu der SQL-Injection-Schwachstelle in Financials (Sicherheitshinweis Nr. 3687749) hat Onapsis eine Code-Injection-Schwachstelle in SAP S/4HANA Private Cloud On-Premise entdeckt, die in SAP-Sicherheitshinweis Nr. 3694242 (CVSS 9.1) behoben wurde. Diese Schwachstelle ermöglicht es einem Angreifer mit Administratorrechten, den Quellcode ohne ordnungsgemäße Authentifizierung zu verändern, was möglicherweise zur Ausführung von Betriebssystembefehlen führen kann.
Gab es Aktualisierungen zu bereits veröffentlichten HotNews-Notizen?
Ja, zwei ursprünglich im Dezember veröffentlichte HotNews-Meldungen wurden aktualisiert:
- Der Hinweis Nr. 3683579 (Apache Tomcat in Cloud SAP Commerce Cloud) wurde um eine vorübergehende Abhilfe ergänzt.
- Der Hinweis Nr. 3685286 (Deserialisierung in SAP jConnect) wurde um einen neuen Knowledge-Base-Artikel (KBA) ergänzt.
Welche weiteren Komponenten mit hoher Priorität sind davon betroffen?
Weitere wichtige Patches sind:
- SAP-HANA-Datenbank: Hinweis Nr. 3691059 (CVSS 8,8) behebt eine Sicherheitslücke, die eine Rechteausweitung ermöglicht.
- SAP Application Server für ABAP: Der Hinweis Nr. 3675151 (CVSS 8.4) behebt eine Sicherheitslücke durch OS-Befehlsinjektion.
- SAP-Fiori-App (Intercompany Balance Reconciliation): Der Hinweis Nr. 3565506 (CVSS 8.1) behandelt mehrere Sicherheitslücken, darunter fehlende Autorisierung.