Die erste kritische Schwachstelle dieses Monats ist laut SAP ein Speicherfehler im NetWeaver Application Server ABAP, erfasst als CVE-2026-44747. Ursache ist eine Schreiboperation außerhalb der vorgesehenen Speichergrenzen. SAP beschreibt, dass ein authentifizierter Angreifer logische Fehler in der Speicherverwaltung ausnutzen kann, um eine Speicherbeschädigung auszulösen. Das könne zu unbefugtem Zugriff auf Daten, zu Datenveränderungen oder zur Nichtverfügbarkeit des Systems führen. Nach Einschätzung des Herstellers hat die Lücke hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
Die zweite kritische Schwachstelle, CVE-2026-27690, betrifft SAP Approuter, eine auf Node.js basierende Middleware-Bibliothek für Cloud-Anwendungen auf der Business Technology Platform des Unternehmens. Dabei handelt es sich um eine Schwachstelle zum Einschleusen von HTTP-Anfragen. Laut Beschreibung können nicht authentifizierte Angreifer die Lücke mit speziell gestalteten HTTP-Anfragen ausnutzen, um auf Antworten von Nutzern zuzugreifen und Denial-of-Service-Angriffe gegen das Zielsystem auszulösen.
Als dritte kritische Lücke nennt SAP CVE-2026-44761 in SAP Commerce Cloud. Der Fehler beruht auf Standard-Anmeldedaten, über die Angreifer gültige Zugriffstoken erhalten und über bestimmte Programmierschnittstellen Daten lesen oder verändern können.
Neben den drei kritischen Problemen führt das Sicherheitsbulletin für Juli 2026 weitere Korrekturen auf: sechs Schwachstellen mit hohem Schweregrad, sieben mit mittlerem und eine mit niedrigem. Genannt werden unter anderem DLL-Hijacking, offene Weiterleitungen, fehlende Berechtigungsprüfungen, Remotecodeausführung, Cross-Site-Scripting, Pfadmanipulation, SQL-Injection, Denial-of-Service, Offenlegung von Informationen und fehlerhafte Sicherheitskonfigurationen.
Nach Angaben von SAP gibt es bislang keine Belege dafür, dass die jetzt behobenen Schwachstellen bereits bei Angriffen ausgenutzt wurden. Zugleich zeigt der Blick auf frühere Fälle, warum die Warnung Gewicht hat: Die US-Behörde CISA hat seit November 2021 vierzehn SAP-Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Zwei davon wurden laut CISA von Ransomware-Gruppen missbraucht.
Erst vor kurzem hatte SAP im Juni-2026-Paket 15 Schwachstellen behoben. Außerdem wurden mehrere offizielle SAP-npm-Pakete bei einem Supply-Chain-Angriff kompromittiert, der auf den Diebstahl von Zugangsdaten aus Entwickler-Systemen abzielte.
SAP beziffert seinen Gesamtumsatz im Geschäftsjahr 2025 auf mehr als 36 Milliarden Euro. Nach Angaben des Unternehmens nutzen 99 der 100 größten Unternehmen weltweit dessen Software.
