Im Rahmen seines monatlichen Patch Days hat SAP zwanzig Sicherheitslücken geschlossen, darunter auch zwei als kritisch eingestufte Schwachstellen. Zu den gefährlichsten Lücken zählt SAP CVE-2019-17571 (CVSS 9.8) in der Quotation Management Insurance Anwendung (FS-QUO). Ursache sei ein veraltetes Log4j-Artefakt, das Angreifern ermögliche, beliebigen Code auf dem Server auszuführen, schreibt Onapsis Research Labs in einem Blogeintrag.

Die zweite als kritisch eingestufte Schwachstelle CVE-2026-27685 (CVSS 9.1) betrifft Netweaver Enterprise Portal Administration. Hier könne ein privilegierter User durch unsichere Deserialisierung unerwünschte oder bösartige Inhalte hochladen und zur Ausführung bringen, was das Vertrauen in ein System sowie dessen Integrität und Verfügbarkeit gefährde.

Eine weiterer Patch schliesst laut Onapsis eine Denial-of-Service-Lücke mit hohem Risiko, CVE-2026-27689 (CVSS 7.7), in SAP Supply Chain Management. Authentifizierte Nutzer könnten durch wiederholtes Ausführen einer Funktion mit manipuliertem Loop-Parameter Systemressourcen überlasten und die Anwendung lahmlegen. Onapsis Research Labs unterstützte SAP bei der Identifizierung und Behebung dieser Schwachstelle.

Weitere Sicherheitsupdates betreffen unter anderem Netweaver AS ABAP, SAP Business One, SAP S/4HANA HCM Portugal, SAP Customer Checkout 2.0 und SAP GUI for Windows.