SAP hat im Juli 2026 insgesamt 16 Sicherheitslücken geschlossen, darunter drei kritische Schwachstellen in NetWeaver, Commerce Cloud und AppRouter.
Der Softwarekonzern SAP hat im Rahmen seines Patchdays im Juli 2026 insgesamt 16 Sicherheitslücken in verschiedenen Produkten behoben. Drei dieser Schwachstellen wurden als kritisch eingestuft.
Die erste kritische Sicherheitslücke betrifft den NetWeaver Application Server ABAP (AS ABAP) und wird unter der Kennung CVE-2026-44747 geführt. Es handelt sich um einen Fehler beim Schreiben außerhalb der Puffergrenzen, der zu einer Speicherbeschädigung führen kann. Zu dieser Schwachstelle teilte das Unternehmen mit:
„Der SAP NetWeaver Application Server ABAP ermöglicht es einem authentifizierten Angreifer, logische Fehler in der Speicherverwaltung auszunutzen, um eine Speicherbeschädigung zu verursachen, die zu unbefugtem Datenzugriff, Modifikationen oder Systemunverfügbarkeit führen kann. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.“
SAP
Die zweite kritische Schwachstelle mit der Kennung CVE-2026-27690 betrifft den SAP Approuter, eine auf Node.js basierende Middleware-Bibliothek für Cloud-Anwendungen auf der SAP Business Technology Platform. Unauthentifizierte Angreifer können diese Lücke über speziell manipulierte HTTP-Anfragen ausnutzen, um auf Benutzerantworten zuzugreifen oder Denial-of-Service-Angriffe auszulösen. Die dritte kritische Lücke (CVE-2026-44761) befindet sich in der SAP Commerce Cloud. Hier ermöglichen voreingestellte Anmeldedaten es Angreifern, gültige Zugriffstoken zu erlangen und Daten über bestimmte APIs zu lesen oder zu verändern.
Weitere Sicherheitsrisiken und historische Relevanz
Neben den drei kritischen Fehlern behebt das Update-Paket sechs Schwachstellen mit hohem Schweregrad, sieben mit mittlerem Schweregrad und eine mit geringem Risiko. Die behobenen Probleme umfassen unter anderem DLL-Hijacking, das Fehlen von Berechtigungsprüfungen, Remote-Code-Execution, Cross-Site-Scripting, SQL-Injection sowie das Ausspähen von Informationen. Bislang liegen SAP keine Erkenntnisse darüber vor, dass die neu behobenen Sicherheitslücken bereits aktiv bei Angriffen ausgenutzt wurden.
Allerdings verweist die US-Cybersicherheitsbehörde CISA darauf, dass seit November 2021 bereits 14 SAP-Sicherheitslücken in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen werden mussten, von denen zwei durch Ransomware-Banden missbraucht wurden. Erst im Juni 2026 hatte SAP 15 Sicherheitslücken geschlossen, während zeitgleich offizielle npm-Pakete von SAP im Rahmen eines Supply-Chain-Angriffs kompromittiert wurden, um Zugangsdaten von Entwicklern zu stehlen.
(red)