Die Schwachstelle CVE-2026-27681 ist eine SQL-Injection-Lücke, die es Benutzern mit geringen Berechtigungen ermöglicht, Dateien mit beliebigen SQL-Befehlen hochzuladen und auszuführen. Das erklärt die Cybersecurity-Firma Onapsis. Laut Jonathan Stross, Senior Product Manager bei Pathlock, könnte die Upload-Funktionalität für direkte Datenbankmanipulationen missbraucht werden, ohne dass eine Benutzerinteraktion erforderlich ist.
In einem realistischen Angriffszenario könnte ein Angreifer die vulnerable Upload-Funktionalität ausnutzen, um bösartige SQL-Befehle gegen BW- und BPC-Datenspeicher auszuführen. Bei erfolgreicher Exploitation könnten sensible Finanzdaten extrahiert, Berichte und Konsolidierungsziffern verändert, Datenbankeinträge gelöscht oder beschädigt und erhebliche Betriebsstörungen verursacht werden. SAP hat das Problem durch vollständiges Deaktivieren des ausführbaren Codes behoben.
Neben CVE-2026-27681 behob SAP auch CVE-2026-34256, eine hochgradig schwerwiegende Autorisierungslücke in ERP und S/4 HANA, die es Angreifern ermöglicht, ABAP-Programme auszuführen und achtstellige ausführbare Programme umzuschreiben.
Von den verbleibenden 18 Sicherheitsnoten behandeln 16 (15 neue und 1 aktualisierte) mittelschwere Schwachstellen, die zu Informationspreisgabe, Denial-of-Service-Angriffen, XSS-Attacken, Code-Injection, Umleitung zu schädlichen Inhalten oder Code-Ausführung im Browser führen könnten. Die Patches betreffen BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit, HANA Database Explorer, Material Master Application und S4CORE.
Die beiden verbleibenden Sicherheitsnoten adressieren geringfügige Code-Injection-Bugs in NetWeaver und Landscape Transformation. SAP teilt mit, dass bislang keine dieser Schwachstellen in freier Wildbahn ausgenutzt wurden. Nutzer werden dringend aufgefordert, die Sicherheits-Patches so schnell wie möglich einzuspielen, um ihre Systeme vor potenziellen Angriffen zu schützen.