Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day Januar 2026

Inhaltsverzeichnis
Jonas Jordans (SAP Basis)
Autor:

Jonas Jordans (SAP Basis)

Beitrag teilen
Passende Themen
#januar26 #patch

Kritisch (Hot News): SQL-Injection-Schwachstelle in SAP S/4HANA (Financials – General Ledger)

Produkt: SAP S/4HANA Private Cloud und On-Premise (Financials – General Ledger), Versionen – S4CORE 102, 103, 104, 105, 106, 107, 108, 109

  • Es besteht eine kritische SQL-Injection-Schwachstelle in SAP S/4HANA Private Cloud und On-Premise im Bereich Financials – General Ledger, die es einem authentifizierten Benutzer ermöglicht, gezielt manipulierte SQL-Abfragen auszuführen. Dadurch können Daten aus der Backend-Datenbank gelesen, verändert oder gelöscht werden.
    Die Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems und wurde mit einem CVSS Score von 9,9 (kritisch) bewertet.
  • Ursache der Sicherheitslücke ist eine unzureichende Eingabevalidierung innerhalb eines Funktionsbausteins. Die Schwachstelle kann insbesondere dann ausgenutzt werden, wenn das Berechtigungsobjekt S_RFC zu weit gefasst ist und externe RFC-Zugriffe auf interne Funktionsbausteine erlaubt sind. In diesem Fall können benutzergesteuerte Eingaben direkt in SQL-Anweisungen eingebracht werden.
  • SAP behebt das Problem, indem SQL-Anweisungen künftig intern mit validierten Parametern generiert werden. Dadurch wird verhindert, dass manipulierte Benutzereingaben in die Datenbankabfragen einfließen. Nach dem Einspielen des Sicherheitshinweises ergeben sich keine funktionalen Einschränkungen für bestehende Prozesse.
  • Als temporäre Behelfslösung empfiehlt SAP, das Berechtigungsobjekt S_RFC zu überprüfen und so einzuschränken, dass kein externer Zugriff auf Funktionsbausteine der Funktionsgruppe FGL_BCF möglich ist. Diese Funktionsbausteine sind ausschließlich für systeminterne Aufrufe im Rahmen der Parallelverarbeitung vorgesehen und dürfen nicht über externe RFC-Schnittstellen erreichbar sein. Diese Maßnahme ersetzt jedoch nicht die Implementierung der offiziellen Korrektur.
  • SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Korrekturanweisungen oder das entsprechende Support Package zeitnah einzuspielen, um das Risiko eines Datenbankzugriffs durch Angreifer nachhaltig zu beseitigen.
  • Mehr dazu finden Sie unter dem Hinweis: 3687749

Kritisch (Hot News): Remote-Code-Execution-Schwachstelle in SAP Wily Introscope Enterprise Manager (WorkStation)

Produkt: SAP Wily Introscope Enterprise Manager (WorkStation), Version – WILY_INTRO_ENTERPRISE 10.8

  • Es besteht eine kritische Remote-Code-Execution-Schwachstelle in SAP Wily Introscope Enterprise Manager (WorkStation), die es einem nicht authentifizierten Angreifer ermöglicht, schädlichen Code auszuführen. Ein Angreifer kann eine manipulierte JNLP-Datei (Java Network Launch Protocol) erstellen, die über eine öffentlich erreichbare URL zugänglich ist. Klickt ein Benutzer auf diese URL, kann der angebundene Wily-Introscope-Server Betriebssystembefehle auf dem System des Opfers ausführen.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung vollständig und wurde mit einem CVSS Score von 9,6 (kritisch) bewertet. Ursache ist die Verwendung einer verwundbaren Drittanbieter-Komponente sowie eine unzureichende Validierung von Parametern bei der Generierung von JNLP-Dateien.
  • SAP hat den JNLP-Generierungscode überarbeitet. Alle Anforderungsparameter werden nun korrekt verarbeitet und validiert, sodass keine unbeabsichtigten oder schädlichen Inhalte mehr in die JNLP-Dateien eingebettet werden können. Dadurch wird verhindert, dass Angreifer manipulierte Startdateien zur Codeausführung missbrauchen.
  • SAP empfiehlt dringend, das Enterprise Manager 10.8 Support Package 01 Patch 2 (Version 10.8.0.220) zu installieren, welches die notwendige Korrektur enthält. Weitere Details zur Implementierung sind im zugehörigen Release-Hinweis beschrieben.
  • Als alternative Lösung können Kunden auf das eigenständige Workstation-Paket aus dem SAP Software Center wechseln, anstatt die Anwendung über eine JNLP-Datei zu starten. Diese Variante bietet denselben Funktionsumfang, ohne die Risiken des JNLP-basierten Starts. Eine Behelfslösung im eigentlichen Sinne steht für diese Schwachstelle nicht zur Verfügung.
  • Mehr dazu finden Sie unter dem Hinweis: 3668679

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud und On-Premise)

Produkt: SAP S/4HANA (Private Cloud und On-Premise), Versionen – S4CORE 102, 103, 104, 105, 106, 107, 108, 109

  • Es besteht eine kritische Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud und On-Premise), die es einem Angreifer mit Administratorberechtigungen ermöglicht, eine Sicherheitslücke in einem über RFC exponierten Funktionsbaustein auszunutzen. Dadurch können beliebige ABAP-Quelltexte oder Betriebssystembefehle in das System eingeschleust werden, wobei grundlegende Autorisierungsprüfungen umgangen werden.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,1 (kritisch) bewertet. Aufgrund der Funktionsweise stellt die Sicherheitslücke faktisch eine Hintertür dar und birgt das Risiko einer vollständigen Kompromittierung des SAP-Systems.
  • SAP behebt dieses Problem durch die Entfernung des Quellcodes, der für die Schwachstelle verantwortlich ist. Dadurch wird sichergestellt, dass keine unkontrollierte Code- oder Befehlsausführung mehr möglich ist und die betroffenen Funktionsbausteine nicht länger missbraucht werden können.
  • Für diese Schwachstelle steht keine Behelfslösung zur Verfügung. SAP empfiehlt dringend, die im Sicherheitshinweis referenzierte Korrekturanleitung umzusetzen oder die entsprechenden Support Packages zeitnah einzuspielen, um das Risiko eines erfolgreichen Angriffs zu eliminieren.
  • Weitere Informationen zur Implementierung finden Sie im zugehörigen FAQ-Dokument.
  • Mehr dazu finden Sie unter dem Hinweis: 3694242

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation

Produkt: SAP Landscape Transformation, Versionen – DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020

  • Es besteht eine kritische Code-Injection-Schwachstelle in SAP Landscape Transformation, die es einem Angreifer mit Administratorberechtigungen ermöglicht, eine Sicherheitslücke in einem über RFC exponierten Funktionsbaustein auszunutzen. Dadurch können beliebiger ABAP-Code oder Betriebssystembefehle in das System eingeschleust werden, wobei wesentliche Autorisierungsprüfungen umgangen werden.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 9,1 (kritisch) bewertet. Aufgrund ihrer Funktionsweise wirkt die Sicherheitslücke wie eine Hintertür und schafft das Risiko einer vollständigen Systemkompromittierung innerhalb der betroffenen SAP-Landschaft.
  • SAP behebt dieses Problem durch die Entfernung des Quellcodes, der die Schwachstelle verursacht. Dadurch wird sichergestellt, dass keine unkontrollierte Code- oder Befehlsausführung mehr möglich ist und die betroffenen Funktionsbausteine nicht länger missbraucht werden können.
  • Für diesen Sicherheitshinweis steht keine Behelfslösung zur Verfügung. SAP empfiehlt dringend, die im Sicherheitshinweis referenzierte Korrekturanleitung umzusetzen oder die entsprechenden Support Packages zeitnah einzuspielen, um die Sicherheitslücke vollständig zu schließen.
  • Weitere Informationen zur Umsetzung finden Sie im zugehörigen FAQ-Dokument.
  • Mehr dazu finden Sie unter dem Hinweis: 3697979

Hoch: Berechtigungseskalations-Schwachstelle in SAP HANA Datenbank

Produkt: SAP HANA Datenbank, Version – HDB 2.00

  • Es besteht eine schwerwiegende Berechtigungseskalations-Schwachstelle in der SAP-HANA-Datenbank, die es einem Angreifer mit gültigen Anmeldeinformationen eines beliebigen Benutzers ermöglicht, zu einem anderen Benutzer zu wechseln und dadurch möglicherweise administrative Berechtigungen zu erlangen. In der Folge kann es zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems kommen.
  • Die Schwachstelle wurde mit einem CVSS Score von 8,8 (hoch) bewertet. Ursache ist eine fehlerhafte Absicherung einer sicherheitskritischen Funktion, durch die ein Benutzerwechsel ohne ausreichende Authentifizierungsprüfung möglich ist.
  • SAP behebt diese Sicherheitslücke, indem unautorisierte Benutzerwechsel technisch unterbunden werden. Administratoren müssen sicherstellen, dass die betroffenen SAP-HANA-Systeme auf einen sicheren Patchstand aktualisiert werden.
  • SAP empfiehlt, SAP HANA 2 mindestens auf die folgenden Versionen zu aktualisieren:- SPS07: Revision 79.07
    - SPS08: Revision 88
  • SAP HANA 2 SPS05 und SPS06 sind von dieser Schwachstelle nicht betroffen. Eine Behelfslösung steht für diesen Sicherheitshinweis nicht zur Verfügung. Um das Risiko einer unbefugten Rechteausweitung auszuschließen, sollten die im Sicherheitshinweis referenzierten Support Packages und Patches zeitnah eingespielt werden.
  • Mehr dazu finden Sie unter dem Hinweis: 3691059

Hoch: OS-Command-Injection-Schwachstelle in SAP Application Server für ABAP und SAP NetWeaver RFCSDK

Produkt: SAP Application Server für ABAP und SAP NetWeaver RFCSDK, Versionen – KRNL64UC 7.53, NWRFCSDK 7.50, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16

  • Es besteht eine schwerwiegende OS-Command-Injection-Schwachstelle in SAP Application Server für ABAP sowie im SAP NetWeaver RFCSDK. Ein authentifizierter Angreifer mit administrativen Berechtigungen und Zugriff aus einem angrenzenden Netzwerk kann speziell präparierte Inhalte auf den Server hochladen. Werden diese Inhalte von der Anwendung verarbeitet, ist die Ausführung beliebiger Betriebssystembefehle möglich.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit einem CVSS Score von 8,4 (hoch) bewertet. Ursache ist eine fehlerhafte Validierung des COMMAND-Parameters bei der Verwendung von rfcExec als gestartetem Server in Verbindung mit der Sicherheitsdatei rfcExec.sec. Durch diese Logik konnten unautorisierte Befehle unter bestimmten Bedingungen zugelassen werden.
  • SAP behebt das Problem durch die Einführung zusätzlicher Prüfungen, die eine nicht autorisierte Einschleusung von Betriebssystembefehlen verhindern. Administratoren sollten sicherstellen, dass die im Sicherheitshinweis referenzierten Support Packages und Kernel-Patches zeitnah eingespielt werden.
  • Für kundenspezifische Entwicklungen, die auf rfcExec aus dem SAP NetWeaver RFC SDK 7.50 basieren, empfiehlt SAP, mindestens Patch-Level 18 oder höher zu installieren, wie im SAP-Hinweis beschrieben. Für diese Schwachstelle steht keine Behelfslösung zur Verfügung.
  • Mehr dazu finden Sie unter dem Hinweis: 3675151

Hoch: Mehrere Schwachstellen in der SAP Fiori App „Intercompany Balance Reconciliation“

Produkt: SAP Fiori App (Intercompany Balance Reconciliation), Versionen – UIAPFI70 500, 600, 700, 800, 900, 901, 902 sowie S4CORE 102, 103, 104, 105, 106, 107, 108

  • Dieser Sicherheitshinweis behandelt mehrere sicherheitsrelevante Schwachstellen in der SAP-Fiori-App „Intercompany Balance Reconciliation“. Die schwerwiegendste Schwachstelle betrifft fehlende Berechtigungsprüfungen und wurde mit einem CVSS Score von 8,1 (hoch) bewertet.
  • Durch unzureichende Autorisierungsprüfungen kann ein authentifizierter Benutzer unzulässige Aktionen ausführen und dadurch seine Berechtigungen erweitern. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit nicht beeinträchtigt ist. Zusätzlich bestehen Schwachstellen im Bereich Datei-Upload, bei denen Dateien ohne ausreichende Formatprüfung hochgeladen werden können, sowie eine fehlerhafte Sicherheitskonfiguration, die den Versand hochgeladener Dateien an beliebige E-Mail-Adressen ermöglicht und damit das Risiko von Phishing-Angriffen erhöht.
  • Ursache der Schwachstellen sind fehlende oder unvollständige Berechtigungsprüfungen sowie ein unzureichender Schutz vor nicht vertrauenswürdigen Datei-Uploads. SAP hat diese Probleme behoben, indem zusätzliche Berechtigungsprüfungen in den betroffenen Funktionen implementiert, Datei-Upload-Einschränkungen eingeführt und die Möglichkeit zum Versand von Dateien an beliebige E-Mail-Adressen entfernt wurden.
  • SAP empfiehlt dringend, die im Sicherheitshinweis referenzierte Korrekturanleitung oder die entsprechenden Support Packages zeitnah einzuspielen. Als temporäre Behelfslösung kann der Zugriff auf die betroffenen Funktionen organisatorisch und administrativ auf einen eingeschränkten Benutzerkreis begrenzt werden. Diese Maßnahme ersetzt jedoch nicht die Implementierung der offiziellen Korrekturen.
  • Mehr dazu finden Sie unter dem Hinweis: 3565506

Hoch: Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server ABAP und ABAP Platform

Produkt: SAP NetWeaver Application Server ABAP und ABAP Platform, Versionen – SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816

  • Es besteht eine schwerwiegende Schwachstelle aufgrund fehlender Berechtigungsprüfungen im SAP NetWeaver Application Server ABAP sowie in der ABAP Platform. Ein authentifizierter Angreifer kann eine RFC-Funktion missbrauchen, um sogenannte Formroutinen (FORMs) im ABAP-System auszuführen. Dadurch können Daten geschrieben oder verändert sowie systemnahe Funktionen ausgelöst werden, die über FORMs exponiert sind.
  • Die Schwachstelle wurde mit einem CVSS Score von 8,1 (hoch) bewertet. Sie hat erhebliche Auswirkungen auf die Integrität und Verfügbarkeit des Systems, während die Vertraulichkeit nicht betroffen ist. Ursache ist eine unzureichend abgesicherte RFC-Funktion, über die FORMs ohne ausreichende Autorisierungsprüfung ausgeführt werden können.
  • SAP behebt diese Sicherheitslücke, indem die betroffene Funktion deaktiviert und aus zukünftigen Releases entfernt wird. Administratoren sollten sicherstellen, dass die im Sicherheitshinweis beschriebenen Support Packages oder Korrekturanleitungen zeitnah implementiert werden.
  • Für diesen Sicherheitshinweis steht keine Behelfslösung zur Verfügung. Um das Risiko einer unautorisierten Ausführung von Formroutinen auszuschließen, empfiehlt SAP dringend, die bereitgestellten Korrekturen unverzüglich einzuspielen.
  • Mehr dazu finden Sie unter dem Hinweis: 3688703

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Januar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Das könnte Sie auch interessieren

SAP Patch Day Dezember 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Solution Manager Produkt: SAP Solution Manager Version - ST...

SAP Patch Day November 2025

Kritisch (Hot News): Unsicheres Key- und Secret Management in SQL Anywhere Monitor (Non-GUI) Produkt: Sybase...

SAP Patch Day Oktober 2025

Kritisch: Unsichere Deserialisierung in SAP NetWeaver AS Java Produkt: SAP NetWeaver AS Java, Version - SERVERCORE...

SAP Patch Day September 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform) Produkt: SAP Landscape Transformation (Analysis Platform),...
Zu Insights
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.