SAP Patch Day März 2026: Zwei HotNews-Lücken in Log4j und NetWeaver geschlossen

Zum SAP Patch Day im März 2026 hat der Softwarekonzern zwanzig Sicherheitshinweise veröffentlicht – darunter zwei als HotNews eingestufte Schwachstellen mit hohen CVSS-Werten sowie zwei High-Priority-Hinweise. Im Fokus stehen eine seit Jahren bekannte Log4j-Komponente und eine Deserialisierungslücke im NetWeaver Enterprise Portal. Zudem haben die Onapsis Research Labs erneut zur Aufdeckung und Behebung einer Schwachstelle beigetragen.

SAP Patch Day März 2026: Überblick

SAP hat im Rahmen seines monatlichen Patch Days im März 2026 insgesamt zwanzig neue und aktualisierte Sicherheitshinweise herausgegeben. Die Verteilung im Überblick:

• 2 HotNews-Hinweise (neu)
• 2 High-Priority-Hinweise (davon einer neu, einer aktualisiert)
• 16 weitere neue Sicherheitshinweise

Einer der neuen Hinweise entstand in direkter Zusammenarbeit mit den Onapsis Research Labs (ORL). Darüber hinaus erhielt das ORL-Team nachträgliche Credits für einen HotNews-Hinweis vom Januar 2026, der gleich zwei Schwachstellen adressiert.

HotNews im Detail

SAP Security Note #3698553 – CVSS 9,8: Log4j kehrt zurück

Betroffen ist die SAP-Anwendung Quotation Management Insurance (FS-QUO). Die Anwendung setzt ein veraltetes Apache-Log4j-Artefakt in Version 1.2.17 ein, das die seit 2019 dokumentierte Schwachstelle CVE-2019-17571 aufweist. Über diese Lücke kann ein nicht autorisierter Angreifer aus dem Netzwerk heraus beliebigen Code auf dem Zielserver ausführen – ohne dass dafür besondere Rechte oder eine vorherige Authentifizierung erforderlich wären.

Die Schwachstelle wirkt sich auf alle drei Schutzziele aus:

• Vertraulichkeit: Zugriff auf sensible Daten möglich
• Integrität: Manipulation von Systemdaten nicht auszuschließen
• Verfügbarkeit: Dienste können zum Ausfall gebracht werden

Der CVSS-Score von 9,8 spiegelt das volle Ausmaß dieser Kombination wider. Dass eine veraltete Log4j-Version noch im Jahr 2026 in einem produktiven SAP-System im Einsatz ist, unterstreicht, wie wichtig eine regelmäßige Überprüfung von Drittanbieter-Bibliotheken und Abhängigkeiten in Softwareprojekten bleibt.

SAP Security Note #3714585 – CVSS 9,1: Deserialisierungslücke im NetWeaver Portal

Diese Meldung betrifft die SAP NetWeaver Enterprise Portal Administration. Die zugrundeliegende Schwachstelle liegt in einer fehlenden oder unzureichenden Validierung von Inhalten, die beim Upload-Prozess deserialisiert werden. Ein Angreifer, der über ausreichende Berechtigungen im System verfügt, kann auf diesem Weg nicht vertrauenswürdige oder gezielt präparierte Inhalte in das System einschleusen.

Dass der CVSS-Score bei 9,1 und nicht bei 10,0 liegt, ist allein dem Umstand geschuldet, dass ein erfolgreicher Angriff erhöhte Zugriffsrechte voraussetzt. Die technische Tragweite der Lücke selbst ist damit nicht gemindert. Unternehmen, die SAP NetWeaver Enterprise Portal im Einsatz haben, sollten den Patch entsprechend priorisieren.

High-Priority-Hinweise im Detail

SAP Security Note #3719502 – CVSS 7,7: Denial-of-Service in SAP Supply Chain Management

Die Onapsis Research Labs haben diese Schwachstelle in SAP Supply Chain Management aufgedeckt und SAP bei der Behebung unterstützt. Die Lücke ist unter der Kennung CVE-2026-27689 registriert.

Im Kern des Problems steht ein aus dem Netzwerk erreichbarer Funktionsbaustein, der eine Schleife verarbeitet, deren Iterationsanzahl über einen externen Eingabeparameter von außen steuerbar ist. Ein authentifizierter Angreifer mit lediglich regulären Benutzerrechten und Netzwerkzugang kann diesen Baustein wiederholt aufrufen und damit gezielt übermäßige Systemressourcen binden. Im Extremfall ist das betroffene System nicht mehr erreichbar.

SAP hat das Problem durch eine fest codierte Obergrenze von 30.000 Schleifendurchläufen behoben. Die Lösung ist technisch pragmatisch: Sie greift direkt an der Stelle ein, an der unkontrollierte externe Eingaben zuvor keine Begrenzung kannten.

SAP Security Note #3697567 – CVSS 8,8: Aktualisierter Hinweis zu NetWeaver AS ABAP

Dieser Hinweis wurde bereits am SAP Patch Day im Februar 2026 veröffentlicht und adressiert eine XML-Signatur-Wrapping-Schwachstelle in SAP NetWeaver AS ABAP sowie der ABAP Platform. Im März erfolgte eine Aktualisierung des Hinweises mit geringfügigen Textanpassungen im Abschnitt zur Lösung. Die Sicherheitsbewertung sowie der CVSS-Score von 8,8 bleiben unverändert. Organisationen, die den Patch bereits im Februar eingespielt haben, sind weiterhin ausreichend abgesichert.

Fazit

Der März-Patch-Day fällt mit zwanzig Hinweisen, zwei neuen HotNews und einem neuen High-Priority-Patch insgesamt umfangreich aus. Besonders die erneut auftauchende Log4j-Problematik zeigt, dass veraltete Softwareabhängigkeiten auch Jahre nach ihrer Erstentdeckung ein reales Risiko für Produktivsysteme darstellen können. Systemverantwortliche sollten die betroffenen Komponenten – insbesondere FS-QUO und das NetWeaver Enterprise Portal – zeitnah prüfen und die bereitgestellten Korrekturen einspielen. Die Beiträge der Onapsis Research Labs unterstreichen einmal mehr, welche Rolle unabhängige Sicherheitsforschung bei der frühzeitigen Erkennung von Schwachstellen in komplexen ERP-Umgebungen spielt.

Note#	Title	Priority	CVSS
3698553	[CVE-2019-17571] Code Injection vulnerability in SAP Quotation Management Insurance application (FS-QUO) Product – SAP Quotation Management Insurance application (FS-QUO) Version(s) – FS-QUO 800	Critical	9.8
3714585	[CVE-2026-27685] Insecure Deserialization in SAP NetWeaver Enterprise Portal Administration Product – SAP NetWeaver Enterprise Portal Administration Version(s) – EP-RUNTIME 7.50	Critical	9.1
3719502	[CVE-2026-27689] Denial of service (DOS) in SAP Supply Chain Management Product – SAP Supply Chain Management Version(s) – SCMAPO 713, 714, S4CORE 102, 103, 104, S4COREOP 105, 106, 107, 108, 109, SCM 700, 701, 702, 712	High	7.7
3689080	[CVE-2026-24316] Server-Side Request Forgery (SSRF) in SAP NetWeaver Application Server for ABAP Product – SAP NetWeaver Application Server for ABAP Version(s) – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918	Medium	6.4
3703856	[CVE-2026-24309] Missing Authorization check in SAP NetWeaver Application Server for ABAP Product – SAP NetWeaver Application Server for ABAP Version(s) – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816	Medium	6.4
3697355	[CVE-2026-27684] SQL Injection Vulnerability in SAP NetWeaver (Feedback Notification) Product – SAP NetWeaver (Feedback Notification) Version(s) – SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75A, 75B, 75C, 75D, 75E, 75F, 75G, 75H, 75I, 816	Medium	6.4
3693543	[CVE-2026-0489] DOM-based Cross-Site Scripting (XSS) Vulnerability in SAP Business One (Job Service) Product – SAP Business One (Job Service) Version(s) – B1_ON_HANA 10.0, SAP-M-BO 10.0	Medium	6.1
3703385	[CVE-2026-27686] Missing Authorization check in SAP Business Warehouse (Service API) Product – SAP Business Warehouse (Service API) Version(s) – DW4CORE 200, 300, 400, PI_BASIS 2006_1_700, 701, 702, 730, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816	Medium	5.9
3701020	[CVE-2026-27687] Missing Authorization check in SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal Product – SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal Version(s) – S4HCMCPT 100, 101, 102, SAP_HRCPT 600, 604, 608	Medium	5.8
3708457	[CVE-2026-24311] Insecure Storage Protection vulnerability in SAP Customer Checkout 2.0 Product – SAP Customer Checkout 2.0 Version(s) – SAP_CUSTOMER_CHECKOUT 2.0	Medium	5.6
3699761	[CVE-2026-24317] DLL Hijacking vulnerability in SAP GUI for Windows with active GuiXT Product – SAP GUI for Windows with active GuiXT Version(s) – BC-FES-GUI 8.00	Medium	5.0
3704740	[CVE-2026-27688] Missing Authorization check in SAP NetWeaver Application Server for ABAP Product – SAP NetWeaver Application Server for ABAP Version(s) – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 730, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816	Medium	5.0
3707930	[CVE-2026-24313] Missing Authorization check in SAP Solution Tools Plug-In (ST-PI) Product – SAP Solution Tools Plug-In (ST-PI) Version(s) – ST-PI 2008_1_700, 2008_1_710, 740, 758	Medium	5.0
3700960	[Multiple CVEs] Denial of Service due to Outdated OpenSSL Version in SAP NetWeaver AS Java (Adobe Document Services) Related CVEs – CVE-2025-9230, CVE-2025-9232 Product – SAP NetWeaver AS Java (Adobe Document Services) Version(s) – ADSSAP 7.50	Medium	4.3
3694383	[CVE-2026-24310] Missing Authorization check in SAP NetWeaver Application Server for ABAP Product – SAP NetWeaver Application Server for ABAP Version(s) – SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816	Low	3.5

Grafik Quelle: SAP

Mehr erfahren

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk