SAP-Sicherheitshinweise: Patch-Tag im Juli 2026

Teilen

Kritische Sicherheitslücke durch Speicherbeschädigung in SAP NetWeaver AS ABAP, die in Zusammenarbeit mit den Onapsis Research Labs behoben wurde

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:

  • Zusammenfassung für Juli – Zwanzig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität
  • SAP Approuter – Zentrale Komponente, die von einer „HotNews“- und einer „High Priority“-Sicherheitslücke betroffen ist
  • Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, vier Sicherheitslücken zu beheben, darunter eine „HotNews“- und eine „High Priority“-Sicherheitsmitteilung von SAP

SAP hat im Rahmen seines „Patch Day“ im Juli zwanzig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter vier „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität. Vier der sechzehn neuen SAP-Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.

Die HotNews -Notizen im Detail

Die Onapsis Research Labs ORL) haben SAP dabei unterstützt, eine kritische Sicherheitslücke in der Speicherverwaltung eines SAP NetWeaver Application Server ABAP zu beheben. Der SAP-Sicherheitshinweis Nr. 3747367, der mit einem CVSS-Wert von 9,9 versehen ist, befasst sich mit dieser Sicherheitslücke durch Speicherbeschädigung und weist darauf hin, dass ein erfolgreicher Angriff durch einen authentifizierten Angreifer zu unbefugtem Datenzugriff, Datenänderung oder Systemausfall führen könnte. Als vorübergehende Abhilfe schlägt der Hinweis vor, alle ICF-Knoten mit einer bestimmten Eigenschaft in der Transaktion SICF zu deaktivieren. Da diese Abhilfe das Öffnen von Transaktionen im SAP GUI for HTML verhindert, ist sie nicht für alle Kunden geeignet, und es wird dringend empfohlen, die gepatchte ABAP-Kernel-Version zu installieren.

Der SAP-Sicherheitshinweis Nr. 3720138, der mit einem CVSS-Wert von 9,1 gekennzeichnet ist, behebt eine HTTP-Request-Smuggling-Sicherheitslücke in SAP Approuter. Die Sicherheitslücke betrifft SAP-Approuter-Bereitstellungen inCloud und ermöglicht es einem nicht authentifizierten Angreifer, eine speziell gestaltete HTTP-Anfrage zu senden, die zu einer Desynchronisation von Anfrage und Antwort führt. Um mögliche schwerwiegende negative Auswirkungen auf die Vertraulichkeit und Verfügbarkeit des Systems zu vermeiden, muss das anfällige node.js-Paket aktualisiert werden. Der KBA-Hinweis Nr. 3770203 enthält weitere Informationen für Kunden, die XSA verwenden. 

Der SAP-Sicherheitshinweis Nr. 3753495, der mit einem CVSS-Wert von 9,1 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit fest codierten Anmeldedaten in Cloud SAP Commerce Cloud. Die SAP Commerce Cloud anfällig für unbefugten Datenzugriff und -änderung, da öffentlich dokumentierte Beispiel-OAuth2-Client-Anmeldedaten möglicherweise in Produktionsumgebungen gespeichert bleiben.

Die Sicherheitslücke geht auf Beispielkonfigurationsskripte zurück, die zuvor im SAP-Hilfeportal bereitgestellt wurden. Diese Skripte, die ausschließlich für Entwicklungs- und Testzwecke bestimmt waren, konfigurieren OAuth2-Clients mit fest codierten, allgemein bekannten Anmeldedaten. In älteren Versionen der Dokumentation wurden Kunden nicht ausdrücklich davor gewarnt, diese Standardeinstellungen in die Produktionsumgebung zu importieren. Ein nicht authentifizierter Angreifer kann diese öffentlich zugänglichen Standard-Anmeldedaten nutzen, um ein gültiges Zugriffstoken zu erhalten. Mit diesem Token kann er bestimmte APIs aufrufen, um Systemdaten zu lesen und zu ändern. Eine Ausnutzung setzt voraus, dass der Kunde das Beispielskript ausgeführt und den daraus resultierenden OAuth2-Client in der Produktionsumgebung beibehalten hat, ohne den fest codierten geheimen Schlüssel zu ersetzen. Kunden, die den Beispiel-Client entfernt oder den geheimen Schlüssel durch einen starken, eindeutigen Wert ersetzt haben, sind nicht betroffen. Der Hinweis behebt lediglich den Fehler in der SAP-Commerce-Dokumentation. In einem manuellen Abhilfeschritt müssen Kunden ihre Produktionsumgebungen auf das Vorhandensein des betroffenen OAuth2-Beispiel-Clients überprüfen. Falls der Client mit dem ursprünglich dokumentierten clientSecret vorhanden ist, muss er entfernt werden. Weitere Informationen finden Sie in der FAQ-Notiz Nr. 3758007.

Der SAP-Sicherheitshinweis Nr. 3727078, der mit einem CVSS-Wert von 9,0 bewertet wurde, befasst sich mit einer Directory-Traversal-Sicherheitslücke im SAP NetWeaver Application Server Java (Web Container) und wurde ursprünglich in Zusammenarbeit mit den Onapsis Research Labs Patch Day von SAP im Juni veröffentlicht. SAP hat weitere Support-Pakete bereitgestellt.

Die Notizen mit hoher Priorität im Detail

Der SAP-Sicherheitshinweis Nr. 3758101, der mit einem CVSS-Wert von 8,8 versehen ist, befasst sich mit mehreren Sicherheitslücken in Apache Camel innerhalb der SAP Integration Suite (Edge Integration Cell). Die Sicherheitslücken sind unter den Kennungen CVE-2026-40860 (CVSS 8,8), CVE-2026-40453 (CVSS 8,5) und CVE-2026-33454 (CVSS 7,7) erfasst und betreffen die Mechanismen zur Header-Injektion und Deserialisierung auf Nachrichtenbasis in den Camel-Mail- und JMS-Komponenten. SAP hat alle Sicherheitslücken mit der SAP Integration Suite Edge Integration Cell Version 8.43.11 oder höher behoben. Diese Version implementiert eine Whitelist sicherer Klassen für die Deserialisierung, wodurch verhindert wird, dass bösartige benutzerdefinierte Klassen deserialisiert und auf dem Server ausgeführt werden.  

Der SAP-Sicherheitshinweis Nr. 3692165, der mit einem CVSS-Wert von 8,4 versehen ist, behebt eine DLL-Hijacking-Sicherheitslücke in SAProuter unter Microsoft Windows. Diese ermöglicht es einem nicht authentifizierten Angreifer, DLL-Dateien von einer nicht vertrauenswürdigen Quelle zu laden und so bösartigen Code auf dem System auszuführen. Dadurch könnte der Angreifer den DLL-Ladevorgang kapern und beliebigen Code ausführen. Der Hinweis enthält Patches für eigenständige SAProuter sowie für SAProuter im SAP-Kernel. Der Hinweis weist darauf hin, dass der Patch kein Ersatz für die Absicherung des SAProuter-Installationsordners durch einen angemessenen Schreibschutz ist. 

Der SAP-Sicherheitshinweis Nr. 3748227, der mit einem CVSS-Wert von 8,2 versehen ist, wurde in Zusammenarbeit mit den Onapsis Research Labs ORL) veröffentlicht. Er behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server Java (Konfigurationsassistent). Dem ORL-Team gelang es, als nicht authentifizierter Angreifer über speziell gestaltete URLs bösartiges JavaScript einzuschleusen. Wenn ein Opfer auf eine solche URL zugreift, wird das Skript im Browser des Benutzers ausgeführt, wodurch der Angreifer Zugriff auf sensible Sitzungsinformationen erhält und nicht sensible Daten, die im Browser des Clients angezeigt werden, verändern kann. Als vorübergehende Abhilfe können die Anwendungsaliase deaktiviert werden.

Der SAP-Sicherheitshinweis Nr. 3741519, der mit einem CVSS-Wert von 8,1 versehen ist, behebt eine Open-Redirect-Sicherheitslücke in SAP Approuter. Unter bestimmten Konfigurationen überprüft SAP Approuter eingehende Request-Header während des OAuth2-Anmeldeablaufs nicht ordnungsgemäß. Dies ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, einen bösartigen Link zu erstellen, der, wenn er von einem Opfer angeklickt wird, zu unbefugtem Zugriff führen kann. Eine erfolgreiche Ausnutzung hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.    

Der SAP-Sicherheitshinweis Nr . 3763800, der mit einem CVSS-Wert von 8,1 versehen ist, trägt den Titel „Mehrere Sicherheitslücken in Apache Tomcat innerhalb CloudSAP Commerce Cloud“. Die Sicherheitslücken werden unter den Kennungen CVE-2026-43512 (CVSS 8,1), CVE-2026-41293 (CVSS 8,1) und CVE-2026-43515 (CVSS 7,4) erfasst.  Wir empfehlen, den Hinweis sorgfältig zu prüfen. Entgegen dem Titel des Hinweises scheint er auch Patches für SAP Data Hub in der Public Cloud für SAP Commerce und SAP Data Hub vor Ort zu enthalten. Kunden sollten zudem das referenzierte FAQ-Dokument Nr. 3768608 lesen.

Der SAP-Sicherheitshinweis Nr. 3773304, der mit einem CVSS-Wert von 7,6 versehen ist, behebt eine Sicherheitslücke im SAP Change and Transport System Attach Tool (ctsattach), die die Ausführung von Code aus der Ferne (Remote Code Execution, RCE) ermöglicht. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, eine speziell gestaltete Archivdatei bereitzustellen, die bei der Verarbeitung durch die Bibliothek der Anwendung eine unsichere Deserialisierung auslösen und zur Ausführung von Code aus der Ferne (RCE) auf dem System führen kann. Für eine erfolgreiche Ausnutzung muss das Opfer das bösartige Archiv verarbeiten, wodurch der Angreifer die RCE ausführen, sensible Informationen extrahieren und control das System und dessen Prozesse erlangen kann. Mit der Veröffentlichung des Sicherheitshinweises stellt SAP den Support für das Tool ein und empfiehlt, dessen Nutzung einzustellen und alle Kopien aus dem System zu entfernen.

Beitrag von Onapsis

Zusätzlich zu HotNews-Hinweis Nr. 3747367 und dem Hinweis mit hoher Priorität Nr . 3748227 unterstützten die Onapsis Research Labs ORL) SAP bei der Behebung von zwei weiteren Sicherheitslücken.

Der SAP-Sicherheitshinweis Nr. 3746678, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke im SAP NetWeaver Enterprise Portal. Dem ORL-Team gelang es, bösartige Skripte in einen URL-Parameter einzuschleusen, ohne dass eine Authentifizierung erforderlich war. Die Skripte werden in der Serverantwort wiedergegeben und im Browser des Benutzers ausgeführt, sobald die manipulierte URL aufgerufen wird. Dies kann zum Diebstahl von Sitzungsdaten, zur Manipulation von Portal-Inhalten oder zur Umleitung des Benutzers führen.

Der SAP-Sicherheitshinweis Nr. 3732522, der mit einem CVSS-Wert von 3,7 versehen ist, befasst sich mit einer Sicherheitslücke, die zur Offenlegung von Informationen im SAP-HANA-Extended-Application-Services-Classic-Modell (User Self Service) führt. Unter bestimmten Umständen gibt der User Self Service des HANA-XS-Classic-Modells bei ungültiger Eingabe keine generische Antwort zurück, wodurch eine Unterscheidung zwischen gültigen und ungültigen Einträgen möglich ist. Ein nicht authentifizierter Angreifer könnte dies ausnutzen, indem er speziell gestaltete Anfragen sendet, die unterscheidbare Antworten erzeugen, wodurch eine Aufzählung gültiger Benutzerkonten und E-Mail-Adressen ermöglicht wird.   

Zusammenfassung und Schlussfolgerungen

Mit zwanzig SAP-Sicherheitshinweisen, darunter vier „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität , ist der SAP-Patch-Day im Juli erneut sehr umfangreich. Vier SAP-Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht Onapsis Research Labs unser Team erneut einen wesentlichen Beitrag zur Verbesserung der Sicherheit von SAP-Anwendungen leisten konnte.

SAP-HinweisTypBeschreibungPrioritätCVSS
3747367Neu[CVE-2026-44747] Sicherheitslücke durch Speicherbeschädigung im SAP NetWeaver Application Server ABAP-
BC-FES-ITS
Aktuelles9.9
3720138Neu[CVE-2026-27690] HTTP-Request-Smuggling in SAP Approuter
BC-XS-APR
Aktuelles9.1
3753495Neu[CVE-2026-44761] Unsichere Beispiel-Anmeldedaten in Cloud SAP Commerce Cloud
CEC-SCC-COM-BC-OCC
Aktuelles9.1
3727078Aktualisierung[CVE-2026-40128] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver Application Server Java (Web-Container)
BC-JAS-WEB
Aktuelles9.0
3758101Neu[CVE-2026-40860] Mehrere Sicherheitslücken in Apache Camel innerhalb der SAP Integration Suite (Edge Integration Cell)
LOD-HCI-PI-CON-SOAP
Hoch8.8
3692165Neu[CVE-2026-0487] DLL-Hijacking-Sicherheitslücke in SAProuter unter Microsoft Windows
BC-CST-NI
Hoch8.4
3748227Neu[CVE-2026-44752] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server Java (Konfigurationsassistent)
BC-INS-CTC-RT
Hoch8.2
3763800Neu[Mehrere CVEs] Mehrere Sicherheitslücken in Apache Tomcat innerhalb der SAP Commerce Cloud
CEC-SCC-PLA-PL
Hoch8.1
3741519Neu[CVE-2026-44745] Open-Redirect-Sicherheitslücke in SAP Approuter
BC-CP-APR
Hoch8.1
3773304Neu[CVE-2026-58233] Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht, im SAP Change and Transport System Attach Tool (ctsattach)
BC-CTS-TMS-PLS
Hoch7.6
3746678Neu[CVE-2026-44759] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Enterprise Portal
EP-PIN-AI-SRA
Mittel6.1
3692004Aktualisierung[CVE-2026-34257] Open-Redirect-Sicherheitslücke im SAP NetWeaver Application Server ABAP-
BC-FES-ITS
Mittel6.1
3537373Neu[CVE-2026-44769] SQL-Injection-Sicherheitslücke in SAP S/4HANA Project Management (PPM-PRO)
PPM-PRO
Mittel5.5
3754659Neu[CVE-2026-44760] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Business Server Pages)
BC-BSP
Mittel4.7
3515598Neu[CVE-2026-44771] Fehlende Autorisierungsprüfung in SAP S/4HANA (Entwurfsvorgang)
FIN-FSCM-CLM-COP
Mittel4.3
3713902Neu[CVE-2026-44770] Fehlende Autorisierungsprüfung in SAP S/4 HANA (Einzelzahlung anlegen)
FI-FIO-AP-PAY
Mittel4.3
3682699Aktualisierung[CVE-2026-24315] Path-Traversal-Sicherheitslücke in SAP Fiori (Launchpad)
CA-FLP-FE-COR
Mittel4.2
3155685Neu[CVE-2026-44768] Sicherheitsrelevante Fehlkonfiguration in SAP CRM (WebClient-Benutzeroberfläche)
CA-WUI-UI
Mittel4.1
3732522Neu[CVE-2026-44753] – Sicherheitslücke durch Offenlegung von Informationen im klassischen Modell der SAP HANA Extended Application Services (User Self Service)
HAN-AS-XS
Niedrig3.7
3726899Aktualisierung[CVE-2025-68161] Mögliche Sicherheitslücke in der Apache-Log4j-Bibliothek, die von SAP NetWeaver AS Java verwendet wird
BC-JAS-SEC-UME
Niedrig3.3

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen„Defender’s Digest Onapsis“-Newsletter.