Die schwerwiegendste der jetzt geschlossenen Lücken ist CVE-2026-44747 im SAP NetWeaver Application Server ABAP. SAP beschreibt den Fehler als Schreibzugriff außerhalb der Speichergrenzen. Ein authentifizierter Angreifer kann demnach logische Fehler in der Speicherverwaltung ausnutzen und so eine Speicherkorruption auslösen. Als mögliche Folgen nennt die Vorlage unbefugten Datenzugriff, Veränderungen an Daten oder die Nichtverfügbarkeit des Systems.
Das SAP-Sicherheitsunternehmen Onapsis verweist auf eine vorübergehende Abhilfe, die SAP in einem Hinweis beschreibt: Alle ICF-Knoten mit einer bestimmten Eigenschaft in der Transaktion SICF sollen deaktiviert werden. Onapsis schränkt jedoch ein, dass diese Maßnahme das Öffnen von Transaktionen in SAP GUI für HTML deaktiviert. Deshalb sei sie nicht für alle Kunden praktikabel; empfohlen werde ausdrücklich die Installation der gepatchten ABAP-Kernel-Version.
Ebenfalls in den Juli-Updates behandelt SAP zwei weitere kritische Schwachstellen. Namentlich hervorgehoben wird CVE-2026-44761. Laut Beschreibung in der National Vulnerability Database des NIST könnte ein nicht authentifizierter Angreifer unveränderte, bekannte Zugangsdaten verwenden, um ein gültiges Zugriffstoken zu erhalten und damit bestimmte Programmierschnittstellen aufzurufen, über die sich Daten lesen und verändern lassen. Die NVD bewertet die Auswirkungen demnach als hoch für Vertraulichkeit und Integrität, ohne Auswirkungen auf die Verfügbarkeit.
Onapsis führt die Ursache von CVE-2026-44761 auf Beispielskripte zur Konfiguration zurück, die zuvor im SAP Help Portal bereitgestellt wurden. Diese Skripte waren ursprünglich für Entwicklung und Tests gedacht und richteten OAuth-2.0-Clients mit fest eincodierten, allgemein bekannten Zugangsdaten ein. Nach Angaben von Onapsis wiesen ältere Fassungen der Dokumentation Kunden nicht ausdrücklich darauf hin, diese Standardeinstellungen nicht in Produktionsumgebungen zu übernehmen.
Ausnutzbar ist die Schwachstelle laut Onapsis nur unter bestimmten Voraussetzungen: Ein Kunde muss das Beispielskript ausgeführt und den dadurch angelegten OAuth-2.0-Client in der Produktionsumgebung beibehalten haben, ohne das fest eincodierte Geheimnis zu ersetzen. Nicht betroffen sind demnach Kunden, die den Beispiel-Client entfernt oder das Geheimnis durch einen starken, eindeutigen Wert ersetzt haben.
Onapsis empfiehlt Kunden, ihre Produktionsumgebungen gezielt darauf zu prüfen, ob der betroffene Beispiel-OAuth-2.0-Client vorhanden ist. Falls das der Fall ist, müsse dieser entfernt werden.
Hinweise auf eine Ausnutzung der Schwachstellen in freier Wildbahn liegen laut Vorlage derzeit nicht vor. SAP hat die erforderlichen Updates bereits bereitgestellt.
