SAP schliesst 20 Sicherheitslücken

15. Juli 2026 um 11:29
image
Foto: ThisisEngineering / Unsplash

Der Softwarekonzern hat in Kooperation mit Sicherheitsspezialisten mehrere Löcher in seinen Geschäftsanwendungen gestopft. Vier davon sind als besonders kritisch eingestuft.

Der Softwarehersteller SAP schliesst am monatlichen Patch Day 20 Sicherheitslücken in diversen Produkten. Unter den 20 Security Notes befinden sich vier Hot News Notes und sechs High Priority Notes. Der Sicherheitsdienstleister Onapsis Research Labs will bei der Entwicklung einiger Patches geholfen haben.
Das grösste Loch klafft SAP zufolge im Speichermanagement des Netweaver Application Server ABAP. Der SAP-Sicherheitshinweis CVE-2026-44747 mit einem CVSS-Score von 9.9 adressiert diese Memory-Corruption-Schwachstelle. Ohne den Patch könne ein Angreifer unbefugt auf Daten zugreifen, sie manipulieren und für die Nichtverfügbarkeit des Systems sorgen. SAP und Onapsis raten dringend zum Einspielen des Sicherheitsupdates.
Das gilt laut den Expertinnen und Experten auch für Patches, die Schwachstellen mit CVSS-Scores über 9.0 beheben. Davon gibt es gleich drei. Die Lücke CVE-2026-27690 (CVSS-Score: 9.1) klafft im SAP Approuter. Sie soll es einem Angreifer erlauben, speziell präparierte HTTP-Anfragen zu senden, die zu einer Desynchronisation von Anfrage und Antwort führen. Den gleiche Score besitzt die Schwachstelle CVE-2026-44761 in SAP Commerce Cloud. Die Verwendung von öffentlichen Beispiel-Zugangsdaten in Produktionsumgebungen kann zu unbefugtem Datenzugriff und -manipulation führen. Die Lücke CVE-2026-40128 mit einem CVSS-Score von 9.0 schliesslich betrifft den Netweaver Application Server Java. Sie wurde im Juni bereits adressiert, jedoch stellt SAP jetzt Unterstützung für weitere Support Packages bereit.
Auch bei allen weiteren Updates raten SAP und Onapsis den Administratorinnen und Administratoren von SAP-Lösungen zum Einspielen der Patches. Die Support-Seite listet noch sechs Sicherheitslücken mit hoher, acht mit mittlerer und zwei mit niedriger Priorität. Teilweise mehrfach betroffen sind das Kernsystem S/4Hana, SAP CRM und SAP Commerce Cloud.

Loading

Mehr zum Thema

imageAbo

Basel-Land will Gever-Lösung neu ausschreiben

Der Kanton will seine Geschäftsverwaltungssoftware neu ausschreiben. Hintergrund sind strategische Weiterentwicklungen beim Lieferanten und beschaffungsrechtliche Vorgaben.

publiziert am 15.7.2026
image

Microsofts Monster-Patch-Tuesday

Der Software-Riese will diesen Monat nicht weniger als 622 Sicherheitslücken in seinen Produkten schliessen.

publiziert am 15.7.2026
image

Kundendaten der Industriellen Werke Basel gestohlen

Bei einem Dienstleister des Basler Energieversorgers haben Cyberkriminelle einen Adressdatensatz erbeutet. Die kantonale Datenschutzbeauftragte sieht ein geringes Risiko.

publiziert am 15.7.2026
imageAbo

Ransomware-Bande bekennt sich zu Angriff auf Genfer Erwachsenenbildung

Die Gruppe Dragonforce will 850 Gigabyte an Daten von Ifage erbeutet haben. Die Stiftung hatte bereits vor einem Abfluss sensibler Daten gewarnt.

publiziert am 14.7.2026