Im Mittelpunkt des April-Patchdays steht CVE-2026-27681, eine SQL-Injection-Schwachstelle mit dem CVSS-Wert 9.9 in Business Planning and Consolidation sowie Business Warehouse. Die Lücke kann zur Ausführung beliebigen Codes führen.

Onapsis erläutert, dass das verwundbare ABAP-Programm einem Benutzer mit geringen Rechten erlaubt, eine Datei mit beliebigen SQL-Anweisungen hochzuladen, die dann ausgeführt werden. Pathlock-Manager Jonathan Stross beschreibt ein mögliches Angriffsszenario: Ein Angreifer missbraucht die betroffene Upload-Funktion, um schädliche SQL-Befehle gegen die Datenbestände von BW/BPC auszuführen. Nach erfolgreichem Angriff könne er sensible Finanzdaten abgreifen, Berichte, Modelle oder Konsolidierungszahlen verändern, Datenbankinhalte löschen oder beschädigen und erhebliche Störungen verursachen. Laut Onapsis hat SAP das Problem behoben, indem der ausführbare Code vollständig deaktiviert wurde.

Daneben veröffentlichte SAP eine Security Note zu einer hochgradig kritischen fehlenden Berechtigungsprüfung in ERP und S/4HANA. Die unter CVE-2026-34256 geführte Schwachstelle lässt sich ausnutzen, um ein ABAP-Programm auszuführen und bestehende ausführbare Programme mit acht Zeichen langen Namen zu überschreiben.

Von den übrigen Hinweisen befassen sich 16 (15 neue und ein aktualisierter) mit Schwachstellen mittleren Schweregrads. Sie können zu Informationsabfluss, Denial-of-Service, XSS-Angriffen, Code-Injection, Umleitung auf schädliche Inhalte oder zur Codeausführung im Browser des Opfers führen. Betroffen sind BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit und HANA Database Explorer, die Material Master Application sowie S4CORE.

Die beiden verbleibenden Notes beheben Code-Injection-Schwachstellen geringen Schweregrads in NetWeaver und Landscape Transformation. SAP macht keine Angaben dazu, dass eine der Lücken bereits in freier Wildbahn ausgenutzt wurde, und rät dazu, die Security Notes zügig anzuwenden.