Elf kritische Schwachstellen bei SAP, n8n, Fortinet, Ivanti und VMware

Foto des Autors

CyberSecureFox Editorial Team

Im Mai 2026 haben fünf große Hersteller – Ivanti, Fortinet, SAP, n8n und Broadcom (VMware) – Patches für 11 kritische Schwachstellen mit CVSS-Scores von 7.8 bis 9.6 veröffentlicht. Das höchste Risiko geht von Schwachstellen in SAP S/4HANA und SAP Commerce (CVSS 9.6) sowie von fünf Schwachstellen in der Automatisierungsplattform n8n (CVSS 9.4) aus, die remote code execution ermöglichen. Zum Zeitpunkt der Veröffentlichung liegen keine Daten über eine tatsächliche Ausnutzung dieser Schwachstellen vor, die hohen Kritikalitätsbewertungen und die Verfügbarkeit von Patches erfordern jedoch ein zügiges Reagieren.

SAP: SQL injection und Umgehung der Authentifizierung mit CVSS 9.6

SAP hat zwei kritische Schwachstellen behoben, die durch Einträge in der NVD bestätigt sind:

  • CVE-2026-34260 (CVSS 9.6) – SQL injection in SAP S/4HANA. Nach Angaben von Pathlock ermöglicht die Schwachstelle einem authentifizierten Angreifer mit geringen Rechten, über Benutzereingaben bösartigen SQL-Code einzuschleusen. Dies kann zur Offenlegung vertraulicher Daten aus der Datenbank und zum Absturz der Anwendung führen. Der verwundbare Code erlaubt dabei jedoch nur das Lesen von Daten und verletzt nicht deren Integrität.
  • CVE-2026-34263 (CVSS 9.6) – fehlende Authentifizierungsprüfung in der Konfiguration von SAP Commerce Cloud. Laut Analyse von Onapsis liegt die Ursache in einer zu großzügigen Sicherheitskonfiguration mit fehlerhafter Reihenfolge der Regeln, wodurch ein nicht authentifizierter Benutzer eine bösartige Konfiguration hochladen und beliebigen Servercode ausführen kann.

Beide Schwachstellen werden im SAP Security Patch Day Bulletin für Mai beschrieben. CVE-2026-34263 ist besonders kritisch: Es ist keine Authentifizierung erforderlich und es wird der Weg zur vollständigen Ausführung beliebigen Codes auf dem Server geöffnet.

n8n: fünf Schwachstellen mit remote code execution

Die Plattform zur Automatisierung von Workflows n8n hat fünf kritische Schwachstellen offengelegt, jeweils mit einem CVSS-Score von 9.4. Alle erfordern Authentifizierung und das Recht, Workflows zu erstellen oder zu ändern, ermöglichen unter diesen Voraussetzungen jedoch die vollständige Kompromittierung des Hosts:

  • CVE-2026-42231 – prototype pollution über die Bibliothek xml2js im Webhook-Handler, die zu remote code execution über speziell gestaltete XML-Payloads führt.
  • CVE-2026-42232 – globale prototype pollution über den XML Node, die in Kombination mit anderen Nodes zu remote code execution führt.
  • CVE-2026-44791 – Bypass des Patches für CVE-2026-42232, der erneut remote code execution ermöglicht.
  • CVE-2026-44789 – globale prototype pollution über einen nicht validierten Pagination-Parameter im HTTP Request Node.
  • CVE-2026-44790 – CLI flag injection in der Push-Operation des Git Nodes, die das Lesen beliebiger Dateien vom n8n-Server ermöglicht und zu einer vollständigen Kompromittierung führt.

Bemerkenswert ist, dass es sich bei CVE-2026-44791 um einen Bypass eines zuvor veröffentlichten Patches handelt – ein klassisches Beispiel dafür, dass sich ein ursprünglicher Patch als unzureichend erweist. Fixes für das erste Paar von Schwachstellen sind in den Versionen 1.123.32, 2.17.4 und 2.18.1 enthalten, für die drei übrigen in den Versionen 1.123.43, 2.20.7 und 2.22.1.

Fortinet: Codeausführung ohne Authentifizierung

Fortinet hat Advisories zu zwei kritischen Schwachstellen veröffentlicht, jeweils mit einem CVSS-Score von 9.1:

  • CVE-2026-44277 – fehlerhafte Zugriffskontrolle in FortiAuthenticator, die es einem nicht authentifizierten Angreifer ermöglicht, über speziell gestaltete Requests nicht autorisierten Code auszuführen. Behoben in den Versionen 6.5.7, 6.6.9 und 8.0.3.
  • CVE-2026-26083 – fehlende Autorisierung in der Weboberfläche von FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS, die es einem nicht authentifizierten Angreifer ermöglicht, über HTTP-Requests Code auszuführen. Behoben in FortiSandbox 4.4.9 und 5.0.2, FortiSandbox Cloud 5.0.6 sowie FortiSandbox PaaS 4.4.9 und 5.0.2.

Beide Schwachstellen erfordern keine Authentifizierung, was das Risiko deutlich erhöht. Produkte von Fortinet sind traditionell ein attraktives Ziel für Angreifer, da sie am Netzwerkperimeter eingesetzt werden.

Ivanti Xtraction und VMware Fusion

Wie im Ivanti-Advisory berichtet wird, ermöglicht die Schwachstelle CVE-2026-8043 (CVSS 9.6) in Ivanti Xtraction bis Version 2026.2 einem entfernten, authentifizierten Angreifer, vertrauliche Dateien zu lesen und beliebige HTML-Dateien in das Webverzeichnis zu schreiben. Dies führt zur Offenlegung von Informationen und potenziell zu Client-seitigen Angriffen.

Broadcom hat die Schwachstelle CVE-2026-41702 (CVSS 7.8) in VMware Fusion behoben. Laut Broadcom-Advisory handelt es sich um eine TOCTOU- (Time-of-check Time-of-use-) Schwachstelle, die bei einer Operation eines Binärprogramms mit gesetztem SETUID-Flag auftritt. Ein lokaler Benutzer ohne administrative Privilegien kann dadurch seine Rechte bis auf root eskalieren. Das Fix ist in Version 26H1 enthalten.

Empfehlungen zur Priorisierung

Für die Planung von Updates wird folgende Priorisierung empfohlen:

  1. Höchste Priorität: Schwachstellen in Fortinet (CVE-2026-44277, CVE-2026-26083) und SAP Commerce (CVE-2026-34263) – erfordern keine Authentifizierung und ermöglichen die Ausführung beliebigen Codes.
  2. Hohe Priorität: Schwachstellen in n8n (alle fünf CVEs) – erfordern Authentifizierung, führen jedoch zur vollständigen Kompromittierung des Hosts; SAP S/4HANA (CVE-2026-34260) – SQL injection mit Datenzugriff.
  3. Standardpriorität: Ivanti Xtraction (CVE-2026-8043) – erfordert Authentifizierung und ist auf Informationsoffenlegung begrenzt; VMware Fusion (CVE-2026-41702) – erfordert lokalen Zugriff.

Für alle genannten Schwachstellen stehen Patches bereits zur Verfügung. Organisationen, die die betroffenen Produkte einsetzen, sollten Updates für Schwachstellen der ersten Prioritätsstufe innerhalb der nächsten 24–72 Stunden und die übrigen im Rahmen des regulären Patch-Zyklus einspielen. Besonderes Augenmerk sollte auf Fortinet-Produkte am Netzwerkperimeter gelegt werden: Das Fehlen einer Authentifizierungspflicht in Kombination mit der Möglichkeit der Codeausführung macht diese Schwachstellen zu den wahrscheinlichsten Kandidaten für erste Exploit-Versuche.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen