SAP hat Sicherheitsupdates zur Behebung zweier kritischer Schwachstellen veröffentlicht, die zu beliebiger Codeausführung auf betroffenen Systemen führen könnten.
Das Sicherheitsunternehmen Onapsis identifizierte die erste Lücke in einer veralteten Version von Apache Log4j 1.2.17. “CVE-2019-17571 ermöglicht es einem Angreifer ohne erhöhte Rechte, Schadcode auf dem Server auszuführen und damit die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu gefährden”, so Onapsis.
Die zweite Schwachstelle CVE-2026-27685 resultiert aus unzureichender Validierung beim Deserialisieren von Inhalten. Sie könnte es Angreifern erlauben, böswillige Inhalte hochzuladen. “Nur die erforderlichen hohen Berechtigungen für einen erfolgreichen Angriff verhindern eine CVSS-Bewertung von 10”, ergänzte Onapsis.
Parallel dazu veröffentlichte Microsoft Patches für 84 Schwachstellen in verschiedenen Produkten, darunter zahlreiche Privilege-Escalation- und Remote-Code-Execution-Flaws.
Adobe kündigte ebenfalls Patches für 80 Sicherheitslücken an. Vier davon sind kritische Flaws in Adobe Commerce und Magento Open Source, die zu Privilegienausweitung und Umgehung von Sicherheitsfunktionen führen könnten. Zusätzlich behoben die Kalifornier fünf kritische Lücken in Adobe Illustrator, die beliebige Codeausführung ermöglichen.
Hewlett Packard Enterprise veröffentlichte Fixes für fünf Schwachstellen in der Aruba Networking AOS-CX-Software. Die gefährlichste ist CVE-2026-23813 (CVSS 9,8), eine Authentifizierungsumgehung in der Web-Management-Schnittstelle. Die Lücke ermöglicht es unauthentifizierten Angreifern, die Authentifizierungskontrollen zu umgehen und in einigen Fällen das Admin-Passwort zurückzusetzen.
“Die Exploitation dieser Aruba-Schwachstelle könnte Angreifern vollständige Kontrolle über AOS-CX-Netzwerk-Geräte und die Möglichkeit geben, ein ganzes System unbemerkt zu kompromittieren”, warnt Ross Filipek, CISO bei Corsica Technologies. “Ein erfolgreicher Angriff könnte zur Unterbrechung von Netzwerkkommunikation oder Beeinträchtigung kritischer Business-Services führen. Diese Lücke zeigt, dass Sicherheitsmängel in Netzwerk-Geräten in unserer hochvernetzten Welt zunehmend zum Problem werden. Wenn Angreifer privilegierten Zugang zu diesen Systemen erlangen, entstehen enorme Risiken für Organisationen.”
Auch weitere Hersteller haben in den vergangenen Wochen Sicherheitsupdates zur Behebung verschiedener Schwachstellen freigegeben.