SAP schließt kritische Schwachstellen in NetWeaver und Commerce Cloud

Zusammenfassung

SAP hat mit seinem Sicherheits-Paket für Juni 2026 Korrekturen für 15 Schwachstellen veröffentlicht. Darunter sind vier als kritisch eingestufte Lücken in SAP NetWeaver und SAP Commerce Cloud. NetWeaver ist die zentrale Anwendungsplattform und Middleware von SAP und bildet die Grundlage vieler Geschäftsanwendungen des Unternehmens, darunter ERP-Systeme. Die Plattform übernimmt Funktionen wie Anwendungsbereitstellung, Integration, Authentifizierung, Benutzerverwaltung und Datenverarbeitung. SAP Commerce Cloud, früher unter dem Namen Hybris bekannt, ist eine E-Commerce-Plattform für Unternehmen, mit der sich Online-Shops, digitale Vertriebskanäle, Produktkataloge, Kundenkonten und Bestellmanagement für B2B- und B2C-Geschäfte betreiben lassen. Im aktuellen Sicherheitsbulletin hebt SAP vor allem zwei besonders schwerwiegende Schwachstellen hervor: eine SAML-bezogene Lücke in NetWeaver mit der Kennung CVE-2026-44748 sowie den Speicherfehler CVE-2026-27671, der sich ohne Authentifizierung ausnutzen lässt.

Nach Angaben von SAP erlaubt CVE-2026-44748 in SAP NetWeaver Application Server ABAP und der ABAP Platform einem authentifizierten Angreifer mit normalen Rechten, eine gültig signierte Nachricht zu erhalten und anschließend veränderte signierte XML-Dokumente an den Prüfer zu senden. Laut SAP kann das dazu führen, dass manipulierte Identitätsinformationen akzeptiert werden. Die Folge kann unbefugter Zugriff auf sensible Benutzerdaten sein, außerdem kann die normale Systemnutzung beeinträchtigt werden.

Bei CVE-2026-27671 handelt es sich um eine weitere kritische Schwachstelle in NetWeaver. Sie kann laut SAP ohne Authentifizierung ausgenutzt werden, wenn ein Angreifer präparierte RFC-Anfragen an verwundbare Endpunkte sendet. Ursache ist demnach eine unzureichende Validierung im Kernel, die zu Speicherbeschädigung führen kann.

Zusätzlich zu den kritischen Problemen hat SAP zwei Schwachstellen mit hohem Schweregrad behoben. CVE-2026-29145 umfasst mehrere Apache-Tomcat-Fehler, die SAP Commerce Cloud betreffen. CVE-2026-44751 ist ein Problem mit einer fehlenden Berechtigungsprüfung in NetWeaver AS ABAP.

Darüber hinaus hat das deutsche Softwareunternehmen nach eigenen Angaben verschiedene weitere Schwachstellen in mehreren SAP-Produkten beseitigt. Dazu zählen SQL-Injection, Pfadmanipulation, Cross-Site Scripting, E-Mail-Spoofing und Umgehungen von Berechtigungsprüfungen.

Detaillierte technische Informationen zu den einzelnen Lücken sowie Hinweise zu Gegenmaßnahmen oder Umgehungslösungen stellt SAP nur Kunden mit Zugang zum Sicherheitsportal bereit.

Unternehmen, die die betroffenen Produkte einsetzen, sollten das Einspielen der Updates priorisieren. Das gilt laut Quelle insbesondere für die SAML-Schwachstelle CVE-2026-44748 und den Speicherfehler CVE-2026-27671, die als sehr schwerwiegend bewertet wurden und in Unternehmensumgebungen erhebliche Auswirkungen haben könnten.

SAP schließt kritische Schwachstellen in NetWeaver und Commerce Cloud

Ähnliche Artikel

Neueste Artikel