Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day April 2026

Inhaltsverzeichnis
Jonas Jordans (SAP Basis)
Autor:

Jonas Jordans (SAP Basis)

Beitrag teilen
Passende Themen
#april26 #patch

Kritisch (Hot News): SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse

Produkt: SAP Business Planning and Consolidation and SAP Business Warehouse
Versionen: HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816

  • Es besteht eine kritische SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse, die es einem authentifizierten Benutzer ermöglicht, manipulierte SQL-Anweisungen auszuführen, um Datenbankdaten zu lesen, zu verändern oder zu löschen. Die Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.
  • Die Schwachstelle wurde mit einem CVSS-Score von 9,9 (kritisch) bewertet.
  • Ursache der Sicherheitslücke sind unzureichende Autorisierungsprüfungen bei der Upload-Funktionalität eines ABAP-Programms. Dadurch konnten authentifizierte Endanwender schadhafte SQL-Abfragen ausführen und direkt auf Datenbankinhalte zugreifen.
  • Die bereitgestellte Korrektur deaktiviert den ausführbaren Code innerhalb des betroffenen ABAP-Programms vollständig. Dadurch kann das Programm nicht mehr aufgerufen oder ausgeführt werden und die Angriffsmöglichkeit wird beseitigt.
  • Es wird dringend empfohlen, die in diesem SAP-Sicherheitshinweis angegebenen Korrekturanweisungen oder Support Packages zu implementieren.
  • Als temporäre Maßnahme empfiehlt SAP, das Berechtigungsobjekt S_GUI mit der Aktivität 60 (Upload) aus den betroffenen Benutzerkonten zu entfernen. Dies ersetzt jedoch nicht die Implementierung der bereitgestellten Korrekturen.

Hoch: Fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise)

Produkt: SAP ERP and SAP S/4 HANA (Private Cloud and On-Premise)
Versionen: SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606

  • Es besteht eine Sicherheitslücke in SAP ERP und SAP S/4HANA, bei der ein authentifizierter Angreifer aufgrund fehlender Autorisierungsprüfungen einen bestimmten ABAP-Report ausführen kann, um bestehende ausführbare ABAP-Programme mit einer Länge von acht Zeichen ohne Berechtigung zu überschreiben. Wird der überschriebenen Report anschließend ausgeführt, kann die vorgesehene Funktionalität nicht mehr genutzt werden.
  • Die Schwachstelle wurde mit einem CVSS-Score von 7,1 (hoch) bewertet.
  • Die Ursache liegt in unzureichenden Autorisierungs- und Namespace-Prüfungen für mehrere Hilfsprogramme. Diese Programme basierten auf der Annahme, dass nur Benutzer mit speziellen Berechtigungen Reports über die Transaktionen SA38 oder SE38 ausführen können. In der Praxis konnten jedoch auch andere Benutzer diese Programme starten.
  • Die Sicherheitslücke wirkt sich insbesondere auf die Verfügbarkeit aus, da bestehende Reports überschrieben und dadurch funktionsunfähig werden können. Die Auswirkungen auf die Integrität beschränken sich auf den jeweils betroffenen Report, während die Vertraulichkeit nicht betroffen ist.
  • SAP hat die Korrektur so umgesetzt, dass berechtigte Benutzer Datenkorrekturen künftig ohne Generierung von Code durchführen können. Zusätzlich werden notwendige Autorisierungsprüfungen durchgeführt, um unberechtigte Benutzer an der Ausführung zu hindern. Das bisher für die Codegenerierung verwendete Programm wird dabei deaktiviert.
  • Es wird dringend empfohlen, die in diesem SAP-Sicherheitshinweis angegebenen Korrekturanweisungen oder Support Packages zu implementieren.
  • Als temporäre Maßnahme empfiehlt SAP, den Programmen RGJVCORG und RGJVCORX eine Autorisierungsgruppe zuzuweisen. Dies kann in der Transaktion SE38 über die Programmeigenschaften erfolgen. Dieser Workaround ist allerdings nur eine temporäre Lösung. Nehmen sie bitte die im SAP Sicherheitshinweis 3731908 genannten Korrekturen und spielen sie diese ein.

Medium: Denial-of-Service-Schwachstelle in SAP BusinessObjects Business Intelligence Platform

Produkt: SAP BusinessObjects Business Intelligence Platform
Versionen: ENTERPRISE 430, 2025, 2027

  • Es besteht eine Denial-of-Service-Schwachstelle in SAP BusinessObjects Business Intelligence Platform, die auf eine Sicherheitslücke in der verwendeten Apache-Struts-Bibliothek zurückzuführen ist. Ein Angreifer kann Systemressourcen durch ein Leak bei der Verarbeitung von Multipart-Anfragen erschöpfen, was zu Service-Abstürzen oder einer Überlastung des Systems führen kann.
  • Die Schwachstelle wurde mit einem CVSS-Score von 6,5 (mittel) bewertet.
  • Ursache der Sicherheitslücke ist eine unvollständige Bereinigung temporärer Ressourcen während der Verarbeitung von Multipart-Anfragen in Apache Struts. Betroffen sind Apache-Struts-Versionen von 2.0.0 bis einschließlich 6.7.0.
  • Die Schwachstelle kann dazu führen, dass die Verfügbarkeit der Anwendung erheblich beeinträchtigt wird. Vertraulichkeit und Integrität der Anwendung sind hingegen nicht betroffen.
  • SAP hat das Problem behoben, indem die eingebettete Apache-Struts-Bibliothek auf die Versionen 6.8.0 beziehungsweise 7.1.1 aktualisiert wurde. Dadurch wird ein ordnungsgemäßes Ressourcenmanagement sichergestellt und eine unkontrollierte Ressourcennutzung verhindert.
  • Es wird dringend empfohlen, die in dem SAP-Sicherheitshinweis 696239 angegebenen Patches zu implementieren.

Medium: Information-Disclosure-Schwachstelle in SAP Human Capital Management für SAP S/4HANA

Produkt: SAP Human Capital Management for SAP S/4HANA
Versionen: S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604, 608

  • Es besteht eine Information-Disclosure-Schwachstelle in SAP Human Capital Management für SAP S/4HANA, bei der das System während Autorisierungsprüfungen zu spezifische Meldungen zurückgibt. Dadurch kann ein authentifizierter Benutzer mit niedrigen Berechtigungen Inhalte außerhalb seines autorisierten Bereichs erraten und systematisch auflisten.
  • Die Schwachstelle wurde mit einem CVSS-Score von 6,5 (mittel) bewertet.
  • Durch die detaillierten Rückmeldungen bei fehlenden Berechtigungen konnten Benutzer Rückschlüsse auf sensible Informationen ziehen, obwohl sie keinen direkten Zugriff auf diese Daten hatten. Dies betrifft insbesondere die Vertraulichkeit von personenbezogenen oder organisatorischen Daten.
  • SAP hat das Problem behoben, indem die spezifischen Meldungen entfernt wurden, sodass keine unnötigen Informationen mehr preisgegeben werden.
  • Es wird dringend empfohlen, die in dem SAP-Sicherheitshinweis 3680767 angegebenen Korrekturanweisungen oder Support Packages zu implementieren.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day April 2026 und weiteren Sicherheitshinweisen finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Das könnte Sie auch interessieren

SAP Patch Day März 2026

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Quotation Management Insurance Produkt: SAP Quotation Management Insurance application...

SAP Patch Day Februar 2026

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP CRM und SAP S/4HANA (Scripting Editor) Produkt: SAP CRM...

SAP Patch Day Januar 2026

Kritisch (Hot News): SQL-Injection-Schwachstelle in SAP S/4HANA (Financials – General Ledger) Produkt: SAP S/4HANA Private...

SAP Patch Day Dezember 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Solution Manager Produkt: SAP Solution Manager Version - ST...
Zu Insights
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.