SAP-Sicherheitshinweise: Patch-Tag im März 2026
HotNews-Hinweise zur SAP-Anwendung „Angebotsmanagement Versicherung“ und zur Verwaltung des SAP NetWeaver Enterprise Portal
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:
- Zusammenfassung für März – Zwanzig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews- Hinweise und zwei Hinweise mit hoher Priorität
- Schon wieder Log4j… – Ein anfälliges Log4j-Artefakt in der SAP-Anwendung „Quotation Management Insurance“ ermöglicht die Ausführung von beliebigem Code auf dem Server
- Onapsis Research Labs – Unser Team hat SAP bei der Behebung der Sicherheitslücke CVE-2026-27689 unterstützt.
SAP hat im Rahmen seines „Patch Day“ im März zwanzig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter zwei „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität. Einer der sechzehn neuen SAP-Sicherheitshinweise wurde in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Weitere Danksagungen gingen an unsere Onapsis Research Labs einen „HotNews“-Hinweis im Januar 2026, der zwei Sicherheitslücken behebt.
Die HotNews -Notizen im Detail
Der SAP-Patch-Day im März bringt zwei neue HotNews -Notizen mit sich.
Der SAP-Sicherheitshinweis Nr. 3698553, der mit einem CVSS-Wert von 9,8 versehen ist, behebt eine Code-Injection-Sicherheitslücke in der SAP-Anwendung „Quotation Management Insurance“ (FS-QUO). Die Anwendung verwendet eine veraltete Version von Apache Log4j 1.2.17, die für die Schwachstelle CVE-2019-17571 anfällig ist. Dies ermöglicht es einem Angreifer ohne Berechtigungen, beliebigen Code aus der Ferne auf dem Server auszuführen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.
Der SAP-Sicherheitshinweis Nr. 3714585 ist mit einem CVSS-Wert von 9,1 versehen und behebt eine Sicherheitslücke durch unsichere Deserialisierung in der SAP NetWeaver Enterprise Portal-Verwaltung. Aufgrund fehlender oder unzureichender Validierung bei der Deserialisierung hochgeladener Inhalte ist ein Benutzer mit erhöhten Rechten in der Lage, nicht vertrauenswürdige oder bösartige Inhalte hochzuladen. Nur die Tatsache, dass ein Angreifer für einen erfolgreichen Exploit hohe Berechtigungen benötigt, verhindert, dass die Schwachstelle mit einem CVSS-Score von 10 bewertet wird.
Die Notizen mit hoher Priorität im Detail
Die Onapsis Research Labs ORL) haben zur Behebung des einzigen neuen Sicherheitshinweises mit hoher Priorität an diesem Patch-Tag beigetragen.
Der SAP-Sicherheitshinweis Nr . 3719502, der mit einem CVSS-Wert von 7,7 bewertet wurde, behebt eine Denial-of-Service-Sicherheitslücke in SAP Supply Chain Management. Das ORL-Team entdeckte ein remote-fähiges Funktionsmodul, das eine Schleife verarbeitet, bei der die Anzahl der Iterationen extern über einen Eingabeparameter festgelegt werden kann. Ein authentifizierter Angreifer mit normalen Benutzerrechten und Netzwerkzugang könnte dieses Funktionsmodul wiederholt aufrufen, wodurch übermäßige Systemressourcen verbraucht würden und das System möglicherweise nicht mehr verfügbar wäre. SAP hat das Problem behoben, indem eine fest codierte Begrenzung auf 30.000 Schleifenschritte eingeführt wurde.
Der SAP-Sicherheitshinweis Nr. 3697567 wurde ursprünglich am Patch Day im Februar von SAP veröffentlicht. Der Hinweis ist mit einem CVSS-Wert von 8,8 versehen und behebt eine Schwachstelle im Zusammenhang mit XML-Signatur-Wrapping in SAP NetWeaver AS ABAP und Platform. Der Hinweis wurde mit geringfügigen Textänderungen im Abschnitt „Lösung“ aktualisiert.
Beitrag von Onapsis
SAP hat die Sicherheitslücke CVE-2026-27689, eine Denial-of-Service-Schwachstelle mit einem CVSS-Wert von 7,7, behoben und dazu den SAP-Sicherheitshinweis Nr . 3719502 mit hoher Priorität veröffentlicht.
Zusammenfassung und Schlussfolgerungen
Mit zwanzig SAP-Sicherheitshinweisen, darunter zwei neue „HotNews“ und ein neuer Hinweis mit hoher Priorität , ist der SAP-Patch-Day im März erneut sehr umfangreich. Wir freuen uns, dass unsere Onapsis Research Labs SAP dabei unterstützen Onapsis Research Labs , eine Sicherheitslücke mit hoher Priorität zu beheben, die es Angreifern ermöglicht hätte, Kundensysteme vollständig lahmzulegen.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3698553 | Neu | [CVE-2019-17571] Sicherheitslücke durch Code-Injektion in der SAP-Anwendung „Quotation Management Insurance“ (FS-QUO) FS-QUO | Aktuelles | 9.8 |
| 3714585 | Neu | [ CVE-2026-27685] Unsichere Deserialisierung in der SAP NetWeaver Enterprise Portal-Verwaltung BC-PIN-PCD | Aktuelles | 9.1 |
| 3697567 | Aktualisierung | [CVE-2026-23687] XML-Signatur-Wrapping in SAP NetWeaver AS ABAP und ABAP Platform- BC-SEC-WSS | Hoch | 8.8 |
| 3719502 | Neu | [CVE-2026-27689] Denial-of-Service-Angriff (DOS) in SAP Supply Chain Management SCM-APO-INT-EXT | Hoch | 7.7 |
| 3695912 | Aktualisierung | [CVE-2026-24324] Denial-of-Service-Sicherheitslücke (DOS) in Platform SAP BusinessObjects Business Intelligence Platform AdminTools) BI-BIP-SRV | Mittel | 6.5 |
| 3672622 | Aktualisierung | [CVE-2026-0484] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server ABAP und im SAP S/4HANA- BC-DWB-CEX-CF | Mittel | 6.5 |
| 3697355 | Neu | [CVE-2026-27684] SQL-Injection-Sicherheitslücke in SAP NetWeaver (Feedback-Meldung) CA-NO | Mittel | 6.4 |
| 3689080 | Neu | [CVE-2026-24316] Server-Side Request Forgery (SSRF) im SAP NetWeaver Application Server für ABAP- BC-TWB-TST-ECA | Mittel | 6.4 |
| 3703856 | Neu | [CVE-2026-24309] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-ORA-CCM | Mittel | 6.4 |
| 3693543 | Neu | [CVE-2026-0489] DOM-basierte Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Business One (Job Service) SBO-CRO-SEC | Mittel | 6.1 |
| 3703385 | Neu | [CVE-2026-27686] Fehlende Autorisierungsprüfung in SAP Business Warehouse (Service-API) BC-BW | Mittel | 5.9 |
| 3701020 | Neu | [CVE-2026-27687] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal ( , PY-PT) | Mittel | 5.8 |
| 3708457 | Neu | [CVE-2026-24311] Sicherheitslücke im Zusammenhang mit unsicherer Speichersicherung in SAP Customer Checkout 2.0 IS-SE-CCO | Mittel | 5.6 |
| 3707930 | Neu | [CVE-2026-24313] Fehlende Berechtigungsprüfung im SAP Solution Tools Plug-In (ST-PI) SV-SMG-SDD | Mittel | 5 |
| 3704740 | Neu | [CVE-2026-27688] Fehlende Berechtigungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-SDB | Mittel | 5 |
| 3699761 | Neu | [CVE-2026-24317] DLL-Hijacking-Sicherheitslücke in SAP GUI für Windows bei aktivem GuiXT- -BC-FES-GXT | Mittel | 5 |
| 3396109 | Aktualisierung | [CVE-2024-22128] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Business Client für HTML BC-FES-BUS | Mittel | 4.7 |
| 3700960 | Neu | [Mehrere CVEs] Denial-of-Service-Angriff aufgrund einer veralteten OpenSSL-Version in SAP NetWeaver AS Java (Adobe Document Services) BC-SRV-FP | Mittel | 4.3 |
| 3646297 | Neu | [CVE-2026-24314] Sicherheitslücke durch Offenlegung von Informationen in SAP S/4HANA (Zahlungsmittel verwalten) FI-FIO-AP-PAY | Mittel | 4.3 |
| 3694383 | Neu | [CVE-2026-24310] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-INF | Niedrig | 3.5 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“.