SAP-Sicherheitshinweise: Patch-Tag im April 2026
HotNews -Meldung veröffentlicht: Onapsis Research Labs SAP bei der Behebung einer kritischen SQL-Injection-Sicherheitslücke
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:
- Zusammenfassung für April – 22 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews -Meldung und zwei Meldungen mit hoher Priorität
- SQL-Injection-Sicherheitslücke – CVSS 9.9-Sicherheitslücke in „ “ SAP Business Planning and Consolidation und SAP Business Warehouse erfordert sofortige Behebung
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, sechs Sicherheitslücken zu beheben, die in fünf SAP-Sicherheitshinweisen behandelt wurden, darunter ein HotNews-Hinweis
SAP hat im Rahmen seines „Patch Day“ im April zweiundzwanzig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter einen „HotNews“-Hinweis und zwei Hinweise mit hoher Priorität. Fünf der achtzehn neuen SAP-Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung einer kritischen SQL-Injection-Sicherheitslücke in SAP Business Planning and Consolidation und SAP Business Warehouse. Das anfällige ABAP-Programm ermöglicht es einem Benutzer mit geringen Berechtigungen, eine Datei mit beliebigen SQL-Anweisungen hochzuladen, die anschließend ausgeführt werden. Der SAP-Sicherheitshinweis Nr. 3719353, der mit einem CVSS-Score von 9,9 versehen ist, behebt die Sicherheitslücke, indem er den gesamten ausführbaren Code innerhalb des betroffenen Programms deaktiviert. Als vorübergehende Abhilfe empfiehlt SAP, das Berechtigungsobjekt S_GUI mit der Aktivität 60 (Upload) für Benutzerkonten zu widerrufen. Da diese Abhilfe zu Nebenwirkungen für die betroffenen Benutzer in anderen Anwendungen führen kann und aufgrund der Schwere der Sicherheitslücke, empfehlen wir dringend, den Patch unverzüglich zu installieren.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3678282, der mit einem CVSS-Wert von 7,5 versehen ist, wurde ursprünglich im Februar 2026 veröffentlicht und behebt eine Denial-of-Service-Sicherheitslücke in Platform SAP BusinessObjects BI Platform zuvor von den Onapsis Research Labs an SAP gemeldet worden war. Das Update enthält lediglich eine geringfügige Korrektur im Abschnitt „Symptome“ des Hinweises.
Der SAP-Sicherheitshinweis Nr. 3731908, der mit einem CVSS-Wert von 7,1 versehen ist, behebt eine Sicherheitslücke in SAP ERP und SAP S/4 HANA (Private Cloud On-Premise), die auf einer fehlenden Autorisierungsprüfung beruht. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer, ein bestimmtes ABAP-Programm auszuführen, um ohne Berechtigung ein beliebiges vorhandenes achtstelliges ausführbares Programm zu überschreiben. Laut SAP beeinträchtigt eine erfolgreiche Ausnutzung die Verfügbarkeit, wobei die Auswirkungen auf die Integrität auf den betroffenen Bericht beschränkt sind, während die Vertraulichkeit unberührt bleibt.
Beitrag von Onapsis
Zusätzlich zu HotNews Note #3719353 unterstützte Onapsis Research Labs ORL) SAP bei der Behebung von fünf Sicherheitslücken mittlerer Priorität, die in vier SAP-Sicherheitshinweisen behandelt wurden.
Der SAP-Sicherheitshinweis #3705094, der mit einem CVSS-Wert von 6,5 versehen ist, beschreibt eine Sicherheitslücke, die ein hohes Risiko für die Vertraulichkeit der Anwendung darstellt. Bestimmte remote-fähige Funktionsbausteine in SAP Business Analytics und SAP Content Management ermöglichen es einem authentifizierten Benutzer, über seine vorgesehenen Berechtigungen hinaus auf sensible Informationen zuzugreifen. Nach dem Patchen sind die anfälligen Funktionsbausteine nicht mehr remote zugänglich.
Der SAP-Sicherheitshinweis Nr . 3692004, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine Open-Redirect-Sicherheitslücke in SAP NetWeaver AS ABAP. Das ORL-Team stellte fest, dass ein nicht authentifizierter Angreifer bösartige URLs erstellen könnte, die, wenn sie von einem Opfer aufgerufen werden, auf eine vom Angreifer kontrollierte Seite umleiten könnten. Um Probleme nach dem Patchen zu vermeiden, kann es erforderlich sein, die Whitelist in Unified Connectivity (UCON) oder die Tabelle HTTP_WHITELIST in älteren SAP-Releases ohne UCON zu erweitern.
Der SAP-Sicherheitshinweis Nr. 3645228, der mit einem CVSS-Wert von 6,1 versehen ist, behandelt zwei Sicherheitslücken, die zu Cross-Site-Scripting in SAP Supplier Relationship Management (SICF-Handler im SRM-Katalog) führen können. Der anfällige ICF-Dienst ermöglicht es einem nicht authentifizierten Angreifer, eine bösartige URL zu erstellen, die, wenn sie von einem Opfer aufgerufen wird, zur Ausführung von bösartigem Inhalt im Browser des Opfers führt. Dies könnte es dem Angreifer ermöglichen, auf Informationen zuzugreifen und diese zu verändern, was die Vertraulichkeit und Integrität der Anwendung beeinträchtigt, während die Verfügbarkeit davon unberührt bleibt.
Der SAP-Sicherheitshinweis Nr. 3703276, der mit einem CVSS-Wert von 4,3 bewertet wurde, behebt eine Sicherheitslücke in der Anwendung „Materialstamm“, die auf einer fehlenden Berechtigungsprüfung beruht. Unser Team hat festgestellt, dass ein remote-fähiger Funktionsbaustein der Anwendung vor dem Zugriff auf sensible Informationen keine ausreichenden Berechtigungsprüfungen durchführt. Die Sicherheitslücke hat geringe Auswirkungen auf die Vertraulichkeit und beeinträchtigt weder die Integrität noch die Verfügbarkeit des Systems.
Zusammenfassung und Schlussfolgerungen
Mit 22 SAP-Sicherheitshinweisen, darunter ein HotNews-Hinweis und zwei Hinweise mit hoher Priorität , ist der SAP-Patch-Day im April erneut sehr umfangreich. Die relativ geringe Anzahl an HotNews- und High-Priority-Hinweisen sollte Sie jedoch nicht davon abhalten, jeden einzelnen SAP-Sicherheitshinweis sorgfältig zu prüfen. Wir sind stolz darauf, dass unser Onapsis Research Labs erneut einen wesentlichen Beitrag zur Verbesserung der SAP-Sicherheit leisten konnte.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3719353 | Neu | [CVE-2026-27681] SQL-Injection-Sicherheitslücke in SAP Business Planning and Consolidation und SAP Business Warehouse EPM-BPC-NW-SQE | Aktuelles | 9.9 |
| 3678282 | Aktualisierung | [CVE-2026-0485] Denial-of-Service-Sicherheitslücke (DOS) in SAP BusinessObjects BI Platform BI-BIP-SRV | Hoch | 7.5 |
| 3731908 | Neu | [CVE-2026-34256] Fehlende Autorisierungsprüfung in SAP ERP und SAP S/4 HANA (Private Cloud On-Premise) CA-JVA-JVA | Hoch | 7.1 |
| 3680767 | Neu | [CVE-2026-34264] Sicherheitslücke durch Offenlegung von Informationen in SAP Human Capital Management für SAP S/4HANA PA-PA-XX | Mittel | 6.5 |
| 3715177 | Neu | [CVE-2026-27678] Fehlende Autorisierungsprüfung im SAP S/4HANA-Backend-OData-Service (Referenzstrukturen verwalten) PM-EQM-RS | Mittel | 6.5 |
| 3715097 | Neu | [CVE-2026-27677] Fehlende Autorisierungsprüfung im SAP S/4HANA OData-Service (Referenzausrüstung verwalten) PM-EQM-EQ | Mittel | 6.5 |
| 3696239 | Neu | [CVE-2025-64775] Denial-of-Service-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-SEC | Mittel | 6.5 |
| 3705094 | Neu | [CVE-2026-34261] Fehlende Autorisierungsprüfung in SAP Business Analytics und SAP Content Management( , PA-OS) | Mittel | 6.5 |
| 3716767 | Neu | [CVE-2026-27679] Fehlende Autorisierungsprüfung im SAP S/4HANA Frontend OData Service (Referenzstrukturen verwalten) PM-EQM-RS | Mittel | 6.5 |
| 3689080 | Aktualisierung | [CVE-2026-24316] Server-Side Request Forgery (SSRF) im SAP NetWeaver Application Server für ABAP- BC-TWB-TST-ECA | Mittel | 6.4 |
| 3692004 | Neu | [CVE-2026-34257] Open-Redirect-Sicherheitslücke im SAP NetWeaver Application Server ABAP- , BC-FES-ITS | Mittel | 6.1 |
| 3719397 | Neu | [CVE-2026-27674] Sicherheitslücke durch Code-Injektion in SAP NetWeaver Application Server Java (Web Dynpro Java) BC-WD-JAV | Mittel | 6.1 |
| 3645228 | Neu | [CVE-2026-0512] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Supplier Relationship Management (SICF-Handler im SRM-Katalog) SRM-EBP-CAT | Mittel | 6.1 |
| 3730639 | Neu | [CVE-2026-34262] Sicherheitslücke durch Offenlegung von Informationen in SAP HANA Cockpit und HANA Database Explorer HAN-CPT-CPT2-DBX | Mittel | 5.0 |
| 3703813 | Neu | [CVE-2026-27673] Fehlende Berechtigungsprüfung in SAP S/4HANA (Private Cloud On-Premise) IS-U-TO-MI | Mittel | 4.9 |
| 3703276 | Neu | [CVE-2026-27672] Fehlende Berechtigungsprüfung in der Materialstamm-Anwendung SCM-BAS-INT-MD | Mittel | 4.3 |
| 3711682 | Neu | [CVE-2026-27676] Fehlende Berechtigungsprüfung im SAP S/4HANA OData-Service (Verwaltung technischer Objektstrukturen) PM-EQM-RS | Mittel | 4.3 |
| 3530544 | Aktualisierung | [CVE-2025-42899] Fehlende Berechtigungsprüfung in SAP S4CORE (Journalbuchungen verwalten) FI-FIO-GL-TRA | Mittel | 4.3 |
| 3702191 | Neu | [CVE-2026-24318] Sicherheitslücke im Zusammenhang mit unsicherer Sitzungsverwaltung in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 4.2 |
| 3698216 | Neu | [CVE-2026-27683] Reflektierte Cross-Site-Scripting-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 4.1 |
| 3665042 | Aktualisierung | [CVE-2026-27680] CSS-Injection-Sicherheitslücke im SAP NetWeaver Application Server ABAP- , BC-WD-UR | Niedrig | 3.1 |
| 3723097 | Neu | [CVE-2026-27675] Sicherheitslücke durch Code-Injektion im SAP-Landschaftstransformations- , CA-LT-PCL | Niedrig | 2.0 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“.