SAP-Sicherheitshinweise: Patch-Tag im Februar 2026
SAP-Sicherheitspatch-Tag Februar 2026: Kritische Code-Injection in SAP CRM und S/4HANA
Highlights des Patch-Tages im Februar:
- Zusammenfassung für Februar – 29 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hinweise und sieben Hinweise mit hoher Priorität
- Kritische Code-Injektion – Eine Sicherheitslücke in SAP CRM und S/4HANA ermöglicht die Ausführung beliebiger SQL-Anweisungen
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, acht Sicherheitslücken zu beheben, die in sieben SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines Patch Day im Februar 29 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter drei HotNews-Hinweise und sieben Hinweise mit hoher Priorität. Sieben der 27 neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labsveröffentlicht.
Die HotNews -Notizen im Detail
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung einer kritischen Code-Injection-Sicherheitslücke in SAP CRM und SAP S/4HANA, die im Februar mit der höchsten CVSS-Bewertung eingestuft wurde.
Hinweis Nr. 3697099: Code-Injection in SAP CRM und S/4HANA (CVSS 9,9)
Der SAP-Sicherheitshinweis Nr. 3697099, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt diese Sicherheitslücke im Skript-Editor der Anwendung. Sie ermöglicht es einem authentifizierten Angreifer, unbefugt kritische Funktionen auszuführen, darunter die Ausführung beliebiger SQL-Anweisungen.
- Risiko: Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung der Datenbank führen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.
- Behebung: SAP hat mit dem Patch zusätzliche Überprüfungen der Zulassungsliste für den betroffenen generischen Funktionsmodulaufruf hinzugefügt. Als vorübergehende Abhilfe kann der betroffene ICF-Service deaktiviert werden.
Hinweis Nr. 3674774: Fehlende Berechtigungsprüfung (CVSS 9.6)
Der SAP-Sicherheitshinweis Nr. 3674774, der mit einem CVSS-Wert von 9,6 bewertet wurde, behebt eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung im SAP NetWeaver Application Server ABAP und in Platform. Unter bestimmten Umständen kann ein authentifizierter Benutzer mit geringen Berechtigungen Remote Function Calls im Hintergrund ausführen, ohne über die erforderliche S_RFC-Berechtigung zu verfügen.
- Risiko: Diese Sicherheitslücke ermöglicht es Angreifern, die Autorisierungskontrollen für die RFC-Verarbeitung im Hintergrund zu umgehen. Ein erfolgreicher Angriff könnte unbefugten Benutzern ermöglichen, eingeschränkte Funktionen auszuführen, Geschäftsdaten zu manipulieren oder kritische Systemabläufe zu stören.
- Behebung: Um die Sicherheitslücke zu schließen, müssen Kunden ein Kernel-Update installieren und einen Profilparameter festlegen. Möglicherweise sind Anpassungen an Benutzerrollen und UCON-Einstellungen erforderlich, um eine Unterbrechung der Geschäftsprozesse zu vermeiden.
Hinweis Nr. 3697979: Aktualisierung der SAP-Landschaftstransformation (CVSS 9.1)
Der dritte HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 3697979 mit einem CVSS-Wert von 9,1. Der Hinweis wurde um die Information ergänzt, dass die Sicherheitslücke extern gemeldet wurde. Der Hinweis wurde ursprünglich am Patch Day von SAP im Januar veröffentlicht und behebt dieselbe Code-Injection-Sicherheitslücke in SAP Landscape Transformation, die auch für SAP S/4HANA (Private Cloud On-Premise) mit dem HotNews-Hinweis Nr. 3694242 behoben wurde. Das anfällige RFC-Funktionsmodul wurde SAP Onapsis Research Labs Dezember 2025 von den Onapsis Research Labs gemeldet.
Die Notizen mit hoher Priorität im Detail
XML-Signatur-Wrapping (CVSS 8.8)
Der SAP-Sicherheitshinweis Nr. 3697567, der mit einem CVSS-Wert von 8,8 bewertet wurde, behebt eine Schwachstelle im Zusammenhang mit XML-Signatur-Wrapping in SAP NetWeaver AS ABAP und Platform. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültige signierte Nachricht zu erlangen und modifizierte signierte XML-Dokumente an den Prüfer zu senden.
- Auswirkungen: Dies kann zur Akzeptanz gefälschter Identitätsdaten, zum unbefugten Zugriff auf sensible Benutzerdaten und zu einer möglichen Störung des normalen Systembetriebs führen.
- Workaround: Es gibt zwar eine Abhilfe, diese deckt jedoch nicht alle Anwendungsfälle für signierte XML-Dokumente ab.
Offenlegung von Informationen in Lösungstools (CVSS 7.7)
Der SAP-Sicherheitshinweis Nr. 3705882, der mit einem CVSS-Wert von 7,7 bewertet wurde, betrifft ein RFC-Modul im SAP Solution Tools Plug-In (ST-PI), das vertrauliche Informationen an unbefugte Benutzer weitergibt. Diese Informationen könnten für nachfolgende Angriffe auf das System genutzt werden; nach der Installation des Patches sind sie jedoch nicht mehr zugänglich.
Onapsis Research Labs
Die Onapsis Research Labs ORL) haben SAP bei der Behebung von zwei der sieben „High Priority Notes“ unterstützt:
DoS-Angriff im Lieferkettenmanagement (CVSS 7.7)
Der SAP-Sicherheitshinweis Nr. 3703092, der mit einem CVSS-Wert von 7,7 bewertet wurde, behebt eine Denial-of-Service-Sicherheitslücke in SAP Supply Chain Management. Unser Team hat ein aus der Ferne aufrufbares Funktionsmodul entdeckt, das es einem authentifizierten Angreifer mit normalen Benutzerrechten und Netzwerkzugang ermöglicht, control Anzahl der Schleifenausführungen zu control . Durch wiederholten Aufruf dieses Moduls werden übermäßige Systemressourcen beansprucht, wodurch das System möglicherweise nicht mehr verfügbar ist.
DoS-Angriff auf Platform BusinessObjects Platform CVSS 7,5)
Unser ORL-Team hat eine weitere Denial-of-Service-Sicherheitslücke in Platform SAP BusinessObjects BI Platform entdeckt. Durch das Senden speziell gestalteter Anfragen können nicht authentifizierte Angreifer den Content Management Server (CMS) zum Absturz bringen und automatisch neu starten. Durch wiederholtes Senden dieser Anfragen könnte der Angreifer eine anhaltende Dienstunterbrechung herbeiführen und den CMS vollständig unzugänglich machen. Die Schwachstelle ist mit einem CVSS-Score von 7,5 bewertet und wurde mit dem SAP-Sicherheitshinweis Nr . 3678282 behoben. Als vorübergehende Abhilfe kann CORBA SSL implementiert werden.
Weitere Hinweise mit hoher Priorität
DoS in BusinessObjects BI (CVSS 7,5):
Der SAP-Sicherheitshinweis Nr. 3654236, der mit einem CVSS-Wert von 7,5 bewertet wurde, behandelt eine weitere Denial-of-Service-Sicherheitslücke in Platform SAP BusinessObjects BI Platform. Sie ermöglicht es einem nicht authentifizierten Angreifer, eine bestimmte Netzwerkanfrage an den vertrauenswürdigen Endpunkt zu senden, die die Authentifizierung unterbricht, wodurch legitime Benutzer am Zugriff auf die platform gehindert werden. Der Patch ermöglicht es Kunden, den vertrauenswürdigen Endpunkt der Webanwendung mit Mutual TLS (mTLS) so zu konfigurieren, dass nur Anfragen von vertrauenswürdigen Backend-Servern akzeptiert werden. Als vorübergehende Abhilfe kann die Landschaft in verschiedene Netzwerksegmente aufgeteilt werden.
Race-Condition in Cloud SAP Commerce Cloud CVSS 7.4)
Der SAP-Sicherheitshinweis Nr. 3692405, der mit einem CVSS-Wert von 7,4 versehen ist, enthält einen Patch für SAP Commerce Cloud eine Version der Eclipse-Jersey-Bibliothek umfasst, die nicht mehr für die unter CVE-2025-12383 erfasste Race-Condition anfällig ist. Bleibt der Patch nicht installiert, könnte ein authentifizierter Benutzer die SSL-Vertrauensprüfung für ausgehende Verbindungen umgehen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.
Offene Weiterleitung in BusinessObjects BI (CVSS 7.3):
Der SAP-Sicherheitshinweis Nr. 3674246, der mit einem CVSS-Wert von 7,3 bewertet wurde, behebt eine Open-Redirect-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform. Die Sicherheitslücke ermöglicht es authentifizierten Angreifern, Opfer auf eine vom Angreifer kontrollierte Domain umzuleiten und anschließend schädliche Inhalte herunterzuladen. Der Patch führt eine serverseitige Whitelist ein, um unvalidierte Weiterleitungen zu URLs von Drittanbietern zu verhindern.
Weitere Beiträge von Onapsis
Neben dem HotNews-Hinweis und den beiden Hinweisen mit hoher Priorität unterstützte das ORL-Team SAP bei der Behebung von fünf weiteren Sicherheitslücken, die in vier SAP-Sicherheitshinweisen behandelt wurden.
Offene Weiterleitung in Business Server Pages (CVSS 6.1)
Das ORL-Team hat eine Open-Redirect-Sicherheitslücke in der Business Server Pages-Anwendung „TAF_APPLAUNCHER“ entdeckt, die ausgenutzt werden könnte, um Benutzer auf vom Angreifer kontrollierte Websites umzuleiten, wodurch sensible Informationen im Browser des Opfers offengelegt oder verändert werden könnten. Der SAP-Sicherheitshinweis Nr. 3688319, der mit einem CVSS-Score von 6,1 versehen ist, behebt das Problem, indem er vor jeder Weiterleitung zu einer externen URL eine Sicherheitswarnung an die Benutzer ausgibt. Wenn keine komponentenbasierte Testautomatisierung verwendet wird, kann die betroffene TAF_APPLAUNCHER-Anwendung deaktiviert werden.
Mehrere Sicherheitslücken in einem Dokumentenmanagementsystem (CVSS 6.1)
Der SAP-Sicherheitshinweis Nr. 3678417 behebt eine Open-Redirect-Sicherheitslücke und eine Cross-Site-Scripting-Sicherheitslücke in BSP-Anwendungen des SAP Document Management System, die beide mit einem CVSS-Wert von 6,1 bewertet wurden. Der CVSS-Vektor der beiden Sicherheitslücken ist identisch und weist auf eine geringe Auswirkung auf die Vertraulichkeit und Integrität der Anwendung hin. Der Patch macht die anfälligen Funktionen und URL-Parameter auf den betroffenen BSP-Anwendungsseiten veraltet.
Offenlegung von Informationen in Commerce Cloud CVSS 5.3)
Unser Team hat in Cloud SAP Commerce Cloud eine Sicherheitslücke im Zusammenhang mit der Offenlegung von Informationen entdeckt. Die Anwendung macht einige API-Endpunkte für nicht authentifizierte Benutzer zugänglich. Bei einer Anfrage geben diese Endpunkte sensible Informationen zurück, die über das Frontend nicht öffentlich zugänglich sein sollten. Die Sicherheitslücke wurde mit einem CVSS-Wert von 5,3 bewertet und durch den SAP-Sicherheitshinweis Nr. 3687771 behoben.
Fehlende Autorisierung im strategischen Unternehmensmanagement (CVSS 4.3)
Der SAP-Sicherheitshinweis Nr. 3680390, der mit einem CVSS-Wert von 4,3 bewertet wurde, behebt eine Sicherheitslücke in SAP Strategic Enterprise Management, die auf einer fehlenden Berechtigungsprüfung beruht. Die Sicherheitslücke hat geringe Auswirkungen auf die Vertraulichkeit, da sie es authentifizierten Angreifern ermöglicht, auf Informationen zuzugreifen, für deren Einsichtnahme sie ansonsten nicht berechtigt sind.
Zusammenfassung der Sicherheitshinweise vom Februar 2026
Mit 29 Sicherheitshinweisen, darunter drei „HotNews“-Hinweise und sieben Hinweise mit hoher Priorität , ist der Patch Day von SAP im Februar besonders umfangreich. Wir sind stolz darauf, dass unsere Onapsis Research Labs zu diesem Patch Day beitragen Onapsis Research Labs , indem sie SAP bei der Behebung von acht Sicherheitslücken unterstützt haben, darunter eine als „HotNews“ und zwei als Hinweise mit hoher Priorität gekennzeichnete.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3697099 | Neu | [CVE-2026-0488] Sicherheitslücke durch Code-Injektion in SAP CRM und SAP S/4HANA (Scripting Editor) CRM-IC-FRW | Aktuelles | 9.9 |
| 3674774 | Neu | [CVE-2026-0509] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server ABAP und im Platform- -BC-MID-RFC | Aktuelles | 9.6 |
| 3697979 | Aktualisierung | [CVE-2026-0491] Sicherheitslücke durch Code-Injektion in der SAP-Landschaftstransformations- CA-DT-ANA | Aktuelles | 9.1 |
| 3697567 | Neu | [CVE-2026-23687] XML-Signatur-Wrapping in SAP NetWeaver AS ABAP und ABAP Platform- BC-SEC-WSS | Hoch | 8.8 |
| 3703092 | Neu | [CVE-2026-23689] Denial-of-Service-Angriff (DOS) in SAP Supply Chain Management SCM-APO-CA-COP | Hoch | 7.7 |
| 3705882 | Neu | [CVE-2026-24322] Fehlende Berechtigungsprüfung im SAP Solution Tools Plug-In (ST-PI) SV-SMG-SDD | Hoch | 7.7 |
| 3678282 | Neu | [CVE-2026-0485] Denial-of-Service-Sicherheitslücke (DOS) in SAP BusinessObjects BI Platform BI-BIP-SRV | Hoch | 7.5 |
| 3654236 | Neu | [CVE-2026-0490] Denial-of-Service (DoS) in SAP BusinessObjects BI Platform BI-BIP-SRV | Hoch | 7.5 |
| 3692405 | Neu | [CVE-2025-12383] Race Condition in SAP Commerce Cloud CEC-SCC-PLA-PL | Hoch | 7.4 |
| 3674246 | Neu | [CVE-2026-0508] Sicherheitslücke durch offene Weiterleitung in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-SEC | Hoch | 7.3 |
| 3695912 | Neu | [CVE-2026-24324] Denial-of-Service-Sicherheitslücke (DOS) in Platform SAP BusinessObjects Business Intelligence Platform AdminTools) BI-BIP-SRV | Mittel | 6.5 |
| 3672622 | Neu | [CVE-2026-0484] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server ABAP und im SAP S/4HANA- BC-DWB-CEX-CF | Mittel | 6.5 |
| 3688319 | Neu | [CVE-2026-24328] Sicherheitslücke durch offene Weiterleitung in der Business Server Pages-Anwendung (TAF_APPLAUNCHER) SV-SMG-TWB-CBT | Mittel | 6.1 |
| 3678417 | Neu | [CVE-2026-0505] Mehrere Sicherheitslücken in BSP-Anwendungen des SAP-Dokumentenverwaltungssystems CA-DMS-OP | Mittel | 6.1 |
| 3503138 | Aktualisierung | [CVE-2025-0059] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von SAP GUI for HTML) BC-FES-WGU | Mittel | 6 |
| 3689543 | Neu | [CVE-2026-23684] Sicherheitslücke durch Race Condition in SAP Commerce Cloud CEC-SCC-COM-BC-OCC | Mittel | 5.9 |
| 3679346 | Neu | [CVE-2026-24319] Sicherheitslücke durch Offenlegung von Informationen in SAP Business One (Speicherauszugsdateien des B1-Clients) SBO-CRO-SEC | Mittel | 5.8 |
| 3687771 | Neu | [CVE-2026-24321] Sicherheitslücke mit Offenlegung von Informationen in SAP Commerce Cloud CEC-SCC-COM-BC-OCC | Mittel | 5.3 |
| 3710111 | Neu | [CVE-2026-24312] Fehlende Berechtigungsprüfung im SAP Business Workflow- us BC-BMT-WFM | Mittel | 5.2 |
| 3691645 | Neu | [CVE-2026-0486] Fehlende Berechtigungsprüfung in ABAP-basierten SAP-Systemen SV-SMG-SDD | Mittel | 5 |
| 3697256 | Neu | [CVE-2026-24325] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP BusinessObjects Enterprise (Central Management Console) BI-BIP-CMC | Mittel | 4.8 |
| 3687285 | Neu | [CVE-2026-23685] Sicherheitslücke durch unsichere Deserialisierung in SAP NetWeaver (JMS-Dienst) BC-JAS-JMS | Mittel | 4.4 |
| 3680390 | Neu | [CVE-2026-24327] Fehlende Berechtigungsprüfung in SAP Strategic Enterprise Management (Balanced Scorecard in der BSP-Anwendung) FIN-SEM-CPM-BSC | Mittel | 4.3 |
| 3678009 | Neu | [CVE-2026-24326] Fehlende Berechtigungsprüfung in SAP S/4HANA Defense & Security (Offline-Betrieb) IS-DFS-BIT | Mittel | 4.3 |
| 3215823 | Neu | [CVE-2026-23688] Fehlende Berechtigungsprüfung in der SAP-Fiori-App (Service-Erfassungsblätter verwalten – Lean Services) MM-PUR-SVC-SES | Mittel | 4.3 |
| 3680416 | Neu | [CVE-2026-23681] Fehlende Berechtigungsprüfung in einem Funktionsbaustein des SAP Support Tools Plug-Ins„ “ (SV-SMG-SDD) | Mittel | 4.3 |
| 3122486 | Neu | [CVE-2026-23683] Fehlende Berechtigungsprüfung in der SAP-Fiori-App (Intercompany Balance Reconciliation) FI-LOC-FI-RU | Mittel | 4.3 |
| 3673213 | Neu | [CVE-2026-23686] CRLF-Injektionsschwachstelle im SAP NetWeaver Application Server Java- , BC-MID-CON-JCO | Niedrig | 3.4 |
| 3678313 | Neu | [CVE-2026-24320] Sicherheitslücke durch Speicherbeschädigung in SAP NetWeaver und Platform ABAP Platform ABAP-Anwendungsserver) BC-CST-IC | Niedrig | 3.1 |
Nächste Schritte
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen, dem SAP Patch Day, den neuesten SAP-Sicherheitshinweisen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“ und besuchen Sie unsere Bibliothek mit Artikeln und Ressourcen.