Mastodon Mastodon Mastodon Mastodon

Drei kritische SAP-Schwachstellen im Juli-Update 2026 im Detail

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Das Unternehmen SAP hat das Sicherheitsupdate-Paket Juli 2026 veröffentlicht, in dem drei kritische Schwachstellen behoben werden: eine Speicherkorruption in SAP NetWeaver Application Server ABAP (CVSS 9.9), HTTP request smuggling in SAP Approuter (CVSS 9.1) und die Verwendung von Default Credentials in SAP Commerce Cloud (CVSS 9.1). Alle drei Schwachstellen ermöglichen es, unbefugten Zugriff auf Daten zu erlangen oder den Betrieb von Systemen zu stören. Anzeichen aktiver Ausnutzung wurden bislang nicht festgestellt, die hohe Kritikalität der Bewertungen erfordert jedoch eine priorisierte Aktualisierung.

Technische Details der Schwachstellen

CVE-2026-44747 — Speicherkorruption in NetWeaver ABAP (CVSS 9.9)

Die schwerwiegendste der drei Schwachstellen — CVE-2026-44747 — ist eine Out-of-Bounds-Write-Schwachstelle in SAP NetWeaver Application Server ABAP. Ein authentifizierter Angreifer kann logische Fehler im Speichermanagement ausnutzen, was zu einer Beschädigung des Speichers führt. Die Folgen reichen von unbefugtem Zugriff auf Daten über deren Manipulation bis hin zur vollständigen Nichtverfügbarkeit des Systems.

Die CVSS-Bewertung von 9.9 — nahezu der Maximalwert — erklärt sich dadurch, dass für eine Ausnutzung eine einfache Authentifizierung ausreicht und die Auswirkungen alle drei Schutzziele betreffen: Vertraulichkeit, Integrität und Verfügbarkeit.

Nach Angaben der Forscher von Onapsis wird als temporäre Umgehungslösung empfohlen, in der Transaktion SICF alle ICF-Knoten mit einer bestimmten Eigenschaft zu deaktivieren. Diese Umgehungslösung verhindert jedoch das Öffnen von Transaktionen in SAP GUI for HTML und ist damit für viele Organisationen nicht akzeptabel. Es wird empfohlen, die aktualisierte Version des ABAP Kernel zu installieren.

CVE-2026-27690 — HTTP request smuggling in SAP Approuter (CVSS 9.1)

Die Schwachstelle CVE-2026-27690 betrifft SAP-Approuter-Deployments in Umgebungen, die nicht Cloud Foundry verwenden. Ein nicht authentifizierter Angreifer kann einen speziell präparierten HTTP-Request senden, der eine request-response desynchronization auslöst. Dies ermöglicht das Abfangen von Antworten, die für andere Nutzer bestimmt sind, sowie Angriffe des Typs Denial-of-Service.

Besonders gefährlich ist das Fehlen eines Authentifizierungserfordernisses: Der Angriff kann von außen ohne jegliche Zugangsdaten durchgeführt werden. Organisationen, die SAP Approuter außerhalb von Cloud Foundry einsetzen, sollten diese Schwachstelle als besonders vordringlich betrachten.

CVE-2026-44761 — Default Credentials in SAP Commerce Cloud (CVSS 9.1)

Die Schwachstelle CVE-2026-44761 ist darauf zurückzuführen, dass in SAP Commerce Cloud ein Beispiel-OAuth-2.0-Client mit öffentlich dokumentierten Zugangsdaten verbleiben kann, die aus Konfigurationsbeispielen im SAP Help Portal übernommen wurden. Wurden diese Daten nicht geändert, kann ein nicht authentifizierter Angreifer ein gültiges Access Token erhalten und über die APIs Systemdaten lesen und manipulieren.

Laut Beschreibung in der NVD hat eine erfolgreiche Ausnutzung ein hohes Impact auf Vertraulichkeit und Integrität, wirkt sich jedoch nicht auf die Verfügbarkeit aus.

Nach Angaben von Onapsis ist die Schwachstelle durch Konfigurationsskripte entstanden, die früher im SAP Help Portal bereitgestellt wurden. Diese Skripte, die für Entwicklung und Tests gedacht waren, legten OAuth-2.0-Clients mit hart kodierten, allgemein bekannten Zugangsdaten an. In älteren Versionen der Dokumentation fehlte dem Vernehmen nach ein ausdrücklicher Hinweis darauf, dass diese Einstellungen nicht in produktiven Umgebungen importiert werden dürfen.

Bewertung der Auswirkungen

Alle drei Schwachstellen betreffen zentrale Komponenten des SAP-Ökosystems, die in großen und mittelständischen Unternehmen weltweit breit eingesetzt werden. NetWeaver ABAP ist die Grundlage der meisten SAP-Installationen, Approuter stellt die Routing-Funktionalität in Cloud- und Hybrid-Szenarien bereit, und Commerce Cloud betreibt E‑Commerce-Plattformen.

Am stärksten gefährdet sind Organisationen, die:

  • SAP NetWeaver ABAP mit Zugriff über SAP GUI for HTML einsetzen
  • SAP Approuter außerhalb einer Cloud-Foundry-Umgebung betreiben
  • Konfigurationsskripte aus der Dokumentation des SAP Help Portal in einer produktiven Commerce-Cloud-Umgebung ausgeführt haben, ohne die Zugangsdaten zu ersetzen

Empfehlungen zur Behebung

  • CVE-2026-44747: Installation der aktualisierten Version des ABAP Kernel. Die Umgehungslösung mit der Deaktivierung von ICF-Knoten in der Transaktion SICF ist nur als temporäre Maßnahme geeignet und für Organisationen, die auf SAP GUI for HTML angewiesen sind, nicht praktikabel.
  • CVE-2026-27690: Einspielen des Patches aus dem Juli-Sicherheitsupdate von SAP. Organisationen mit Approuter-Deployments außerhalb von Cloud Foundry sollten die Routing-Konfiguration prüfen und den externen Zugriff bis zur Installation des Updates einschränken.
  • CVE-2026-44761: Durchführung eines Audits der produktiven Commerce-Cloud-Umgebung auf das Vorhandensein eines Beispiel-OAuth-2.0-Clients mit Default Credentials. Wird ein solcher Client gefunden, sollte er gelöscht oder das Secret durch einen eindeutigen, starken Wert ersetzt werden. Organisationen, die den Beispiel-Client bereits entfernt oder das Secret ersetzt haben, sind von dieser Schwachstelle nicht betroffen.

Keine der drei Schwachstellen ist zum Zeitpunkt der Veröffentlichung im CISA Known Exploited Vulnerabilities Catalog gelistet, und es sind keine bestätigten Fälle einer Ausnutzung bekannt. Dennoch machen die CVSS-Bewertungen von 9.1–9.9 deutlich, dass die Aktualisierung vorrangig erfolgen muss: Installieren Sie die Patches aus dem SAP-Sicherheitsupdate-Paket für Juli 2026 im nächsten Wartungsfenster und prüfen Sie für Commerce Cloud umgehend, ob in der produktiven Umgebung ein Beispiel-OAuth-Client vorhanden ist, da diese Kontrolle keinen Ausfall erfordert und sofort durchgeführt werden kann.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.