Der Softwarehersteller SAP schliesst am monatlichen Patch Day 20 Sicherheitslücken in diversen Produkten. Unter den 20 Security Notes befinden sich vier Hot News Notes und sechs High Priority Notes. Der Sicherheitsdienstleister Onapsis Research Labs will bei der Entwicklung einiger Patches geholfen haben.
Das grösste Loch klafft SAP zufolge im Speichermanagement des Netweaver Application Server ABAP. Der SAP-Sicherheitshinweis
CVE-2026-44747 mit einem CVSS-Score von 9.9 adressiert diese Memory-Corruption-Schwachstelle. Ohne den Patch könne ein Angreifer unbefugt auf Daten zugreifen, sie manipulieren und für die Nichtverfügbarkeit des Systems sorgen. SAP und Onapsis raten dringend zum Einspielen des Sicherheitsupdates.
Das gilt laut den Expertinnen und Experten auch für Patches, die Schwachstellen mit CVSS-Scores über 9.0 beheben. Davon gibt es gleich drei. Die Lücke
CVE-2026-27690 (CVSS-Score: 9.1) klafft im SAP Approuter. Sie soll es einem Angreifer erlauben, speziell präparierte HTTP-Anfragen zu senden, die zu einer Desynchronisation von Anfrage und Antwort führen. Den gleiche Score besitzt die Schwachstelle
CVE-2026-44761 in SAP Commerce Cloud. Die Verwendung von öffentlichen Beispiel-Zugangsdaten in Produktionsumgebungen kann zu unbefugtem Datenzugriff und -manipulation führen. Die Lücke
CVE-2026-40128 mit einem CVSS-Score von 9.0 schliesslich betrifft den Netweaver Application Server Java. Sie wurde im Juni bereits adressiert, jedoch stellt SAP jetzt Unterstützung für weitere Support Packages bereit.
Auch bei allen weiteren Updates raten SAP und Onapsis den Administratorinnen und Administratoren von SAP-Lösungen zum Einspielen der Patches. Die
Support-Seite listet noch sechs Sicherheitslücken mit hoher, acht mit mittlerer und zwei mit niedriger Priorität. Teilweise mehrfach betroffen sind das Kernsystem S/4Hana, SAP CRM und SAP Commerce Cloud.