Mit dem Security Patch Day für März 2026 hat SAP 15 neue Sicherheitshinweise herausgegeben. Die größte Aufmerksamkeit verdienen dabei zwei kritische Schwachstellen, die jeweils die Ausführung beliebigen Codes ermöglichen können.

Der erste Fall betrifft das Modul Quotation Management Insurance (FS-QUO). Die unter CVE-2019-17571 geführte Lücke erhält einen CVSS-Wert von 9.8 und wird von SAP als Code-Injection-Problem beschrieben. Hintergrund ist eine bereits im Dezember 2019 offengelegte Schwachstelle in Apache Log4j: Sie beruht auf der Deserialisierung nicht vertrauenswürdiger Daten und kann es entfernten Angreifern unter bestimmten Bedingungen erlauben, beliebigen Code auszuführen.

Die zweite kritische Schwachstelle steckt in der NetWeaver Enterprise Portal Administration und wird unter CVE-2026-27685 mit einem CVSS-Wert von 9.1 geführt. Auch hier handelt es sich um eine unsichere Deserialisierung: Angreifer könnten nicht vertrauenswürdige Daten hochladen, deren Verarbeitung zur Code-Ausführung, zu Denial-of-Service-Zuständen oder zu einer Rechteausweitung führen kann.

Ein dritter Hinweis befasst sich mit CVE-2026-27689 (CVSS 7.7), einer als hoch eingestuften DoS-Schwachstelle im Supply Chain Management. Dabei kann ein Angreifer eine nicht näher bezeichnete Funktion wiederholt mit einem extrem großen Schleifenparameter aufrufen und durch die fortgesetzte Ausführung schließlich die Systemressourcen erschöpfen.

Die übrigen neuen Sicherheitshinweise beheben Schwachstellen mittleren Schweregrads in NetWeaver, Business One, Business Warehouse, S/4HANA, Customer Checkout 2.0, GUI for Windows sowie im Solution Tools Plug-In. Zu den behobenen Fehlern zählen Server-Side Request Forgery (SSRF), fehlende Berechtigungsprüfungen, SQL-Injection, Cross-Site-Scripting (XSS), unsichere Speicherung, DLL-Hijacking und weitere DoS-Probleme.

Nach Angaben von SAP gibt es bislang keine Hinweise darauf, dass eine der Schwachstellen aktiv ausgenutzt wird. Anwendern wird dennoch empfohlen, ihre Installationen so schnell wie möglich zu aktualisieren.