Die gravierendste der jetzt behobenen Schwachstellen ist CVE-2026-44747 im NetWeaver Application Server ABAP. SAP bewertet den Fehler mit einem CVSS-Wert von 9,9. Onapsis beschreibt ihn als Speicherbeschädigungsfehler, der Angreifern bei erfolgreicher Ausnutzung den Zugriff auf Daten, deren Veränderung sowie die Nichtverfügbarkeit von Systemen ermöglichen kann.

SAP rät Kunden nachdrücklich, die neuen Patches einzuspielen. Als vorübergehende Ausweichmaßnahme können Kunden laut Hersteller „alle ICF-Knoten mit einer bestimmten Eigenschaft in der Transaktion SICF deaktivieren“.

Die zweite kritische Security Note betrifft CVE-2026-27690 in Approuter und hat einen CVSS-Wert von 9,1. Laut Onapsis handelt es sich um ein Problem mit eingeschmuggelten HTTP-Anfragen. Betroffen sind SAP-Approuter-Bereitstellungen außerhalb von Cloud Foundry. Ein nicht authentifizierter Angreifer kann demnach eine speziell präparierte HTTP-Anfrage senden, die zu einer Desynchronisierung zwischen Anfrage und Antwort führt.

Eine weitere kritische Schwachstelle, ebenfalls mit einem CVSS-Wert von 9,1, hat SAP unter der Kennung CVE-2026-44761 in Commerce Cloud geschlossen. SAP beschreibt sie als Problem mit fest eingebetteten Zugangsdaten. Der Fehler kann zu unbefugtem Zugriff auf Daten und zu deren Veränderung führen.

Hintergrund sind Beispielskripte zur Konfiguration, die laut Bericht zuvor im SAP Help Portal für Entwicklung und Tests bereitgestellt wurden. Diese Skripte richteten OAuth2-Clients mit bekannten Zugangsdaten ein. Ein nicht authentifizierter Angreifer könnte diese Zugangsdaten missbrauchen, um ein Zugriffstoken zu erhalten und damit bestimmte Programmierschnittstellen aufzurufen. Das erlaubt laut Onapsis das Lesen und Manipulieren von Systemdaten.

Onapsis schränkt zugleich ein, dass eine Ausnutzung voraussetzt, dass Kunden das Beispielskript ausgeführt und den so erzeugten OAuth2-Client in der Produktionsumgebung belassen haben, ohne das fest eingebettete Geheimnis zu ersetzen. Nicht betroffen seien Kunden, die den Beispiel-Client entfernt oder das Geheimnis durch einen starken, eindeutigen Wert ersetzt haben.

Ältere SAP-Dokumentation für Commerce Cloud warnte dem Bericht zufolge nicht davor, die Standardeinstellungen in Produktionsumgebungen zu importieren. Die neue Security Note greift dieses Versäumnis auf. Kunden sollen ihre Produktionsumgebungen daraufhin prüfen, ob in Beispiel-OAuth2-Clients noch die fest eingebetteten Zugangsdaten vorhanden sind.

Zusätzlich hat SAP am Dienstag eine Security Note zu einer kritischen NetWeaver-Schwachstelle aktualisiert, die ursprünglich im Juni gepatcht worden war. Die Überarbeitung dient der Unterstützung zusätzlicher Pakete.

Darüber hinaus veröffentlichte SAP sechs Security Notes zu Schwachstellen mit hohem Schweregrad in Integration Suite (Edge Integration Cell), SAProuter, NetWeaver Application Server Java (Configuration Wizard), Approuter, Commerce Cloud und dem Change and Transport System Attach Tool (ctsattach). Die Hinweise für Integration Suite und Commerce Cloud enthalten Patches für mehrere Sicherheitsfehler in Apache Camel und Apache Tomcat. Weitere neue und aktualisierte Hinweise aus dem Juli-Patchday betreffen Schwachstellen mittleren und niedrigen Schweregrads in NetWeaver, S/4HANA, Fiori, CRM und HANA Extended Application Services Classic Model.