SchwachstellenHackerangriffeMalware

SAP behebt kritische Schwachstellen in FS-QUO und NetWeaver

SAP behebt kritische Schwachstellen in FS-QUO und NetWeaver
Zusammenfassung

SAP veröffentlichte am März-Sicherheitstag 15 Sicherheitspatches, darunter zwei kritische Schwachstellen. CVE-2019-17571 in FS-QUO ermöglicht Code-Injection durch deserialisierte Daten in Apache Log4j. CVE-2026-27685 in NetWeaver erlaubt Angreifern, Code auszuführen oder DoS-Anschläge durchzuführen. Eine weitere High-Severity-Lücke betrifft das Supply Chain Management. Die Patches adressieren auch SSRF, SQL-Injection und weitere Vulnerabilities in diversen SAP-Produkten. Benutzer sollten zeitnah aktualisieren.

Das Softwareunternehmen SAP hat diese Woche 15 neue Sicherheitsmitteilungen als Teil seines Patch-Tages vom März 2026 angekündigt. Im Fokus stehen zwei Schwachstellen mit kritischem Schweregrad, die in der Quotation Management Insurance (FS-QUO) und dem NetWeaver Enterprise Portal Administration behoben wurden.

Die FS-QUO-Lücke trägt die Bezeichnung CVE-2019-17571 mit einem CVSS-Score von 9,8 und wurde als Code-Injection-Fehler klassifiziert. Ursprünglich im Dezember 2019 entdeckt, handelt es sich um ein Problem mit der Deserialisierung nicht vertrauenswürdiger Daten in Apache Log4j. Dieses Manko könnte es Remote-Angreifern unter bestimmten Bedingungen ermöglichen, beliebigen Code auszuführen.

Die zweite kritische Schwachstelle mit der Kennzeichnung CVE-2026-27685 (CVSS-Score: 9,1) stellt ebenfalls ein Deserialisierungsproblem dar. Sie erlaubt es Angreifern, nicht vertrauenswürdige Daten hochzuladen, die bei der Deserialisierung zu Code-Ausführung, Denial-of-Service-Zuständen oder Privilegien-Eskalation führen können.

Eine dritte Sicherheitsmitteilung adressiert CVE-2026-27689 (CVSS-Score: 7,7), einen Denial-of-Service-Fehler mit hohem Schweregrad im Supply Chain Management. Die Schwachstelle ermöglicht es einem Angreifer, eine nicht näher spezifizierte Funktion wiederholt mit einem extrem großen Loop-Control-Parameter aufzurufen und dadurch System-Ressourcen durch kontinuierliche Ausführung zu erschöpfen.

Die übrigen Sicherheitsupdates beziehen sich auf Fehler mittlerer Schwere in NetWeaver, Business One, Business Warehouse, S/4HANA, Customer Checkout 2.0, GUI für Windows und Solution Tools Plug-In. Die behobenen Sicherheitsmängel umfassen Server-Side-Request-Forgery (SSRF), fehlende Autorisierungsprüfungen, SQL-Injection, Cross-Site-Scripting (XSS), unsichere Speicherschutzmaßnahmen, DLL-Hijacking und weitere DoS-Fehler.

SAP gibt an, dass keine dieser Schwachstellen derzeit in freier Wildbahn ausgenutzt werden. Dennoch sollten Unternehmen ihre Systeme so schnell wie möglich aktualisieren, um potenzielle Risiken zu minimieren.

Ähnliche Artikel