SAP-Sicherheitsupdate Januar 2026: Kritische Schwachstellen in S/4HANA geschlossen

Umfassende Patch-Veröffentlichung zum Jahresauftakt

SAP hat zum ersten Patch-Tag 2026 insgesamt 19 Sicherheitsaktualisierungen bereitgestellt. Die Verteilung umfasst sechs HotNews-Hinweise und vier High-Priority-Updates. Von den 17 neu veröffentlichten Sicherheitshinweisen entstanden sieben in Kooperation mit den Onapsis Research Labs.

HotNews-Hinweise mit maximaler Dringlichkeit

SQL-Injection in S/4HANA Finance

Sicherheitshinweis #3687749 adressiert eine SQL-Injection-Schwachstelle in SAP S/4HANA Private Cloud und On-Premise im Bereich Finanzen und Hauptbuch. Die Forscher von Onapsis Research Labs identifizierten einen RFC-fähigen Funktionsbaustein, der das ABAP Database Connectivity Framework nutzt. Über einen Eingabeparameter lassen sich native SQL-Anweisungen einschleusen, wodurch Angreifer beliebige Datenbankbefehle ausführen können. Die Schwachstelle erhielt einen CVSS-Score von 9.9. Bereits Nutzer mit eingeschränkten Rechten können bei erfolgreicher Ausnutzung das gesamte System kompromittieren.

Remote Code Execution in Wily Introscope

Hinweis #3668679 behandelt eine Schwachstelle in SAP Wily Introscope Enterprise Manager (WorkStation) mit CVSS-Score 9.6. Die Onapsis-Forscher stellten fest, dass nicht authentifizierte Angreifer manipulierte JNLP-Dateien erstellen können. Diese Java Network Launch Protocol-Dateien sind über URLs erreichbar. Klickt ein Nutzer auf eine solche URL, kann der Wily Introscope Server Befehle auf dem Client-System ausführen. Die Folge ist eine vollständige Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit.

Code-Injection-Schwachstellen in S/4HANA und SLT

Sicherheitshinweis #3694242 schließt eine Code-Injection-Lücke in SAP S/4HANA Private Cloud und On-Premise (CVSS 9.1). Das Onapsis-Team entdeckte einen ferngesteuerten Funktionsbaustein, über den Administratoren Quellcode bestehender Programme modifizieren können, ohne dass substanzielle Authentifizierungsprüfungen stattfinden. Diese Manipulation ermöglicht unter anderem die direkte Ausführung von Betriebssystembefehlen.

Hinweis #3697979 behebt dieselbe Schwachstelle für eigenständige SAP Landscape Transformation Server sowie andere Systeme, die die betroffene Komponente als separates DMIS-Add-on nutzen. Auch hier liegt der CVSS-Score bei 9.1.

Zwei weitere HotNews-Mitteilungen (#3683579 und #3685286) wurden bereits im Dezember veröffentlicht. SAP hat nun einen temporären Workaround zu Hinweis #3683579 sowie einen Knowledge Base-Artikel zu #3685286 ergänzt.

High-Priority-Updates im Überblick

Rechteausweitung in HANA-Datenbank

Sicherheitshinweis #3691059 behebt eine Privilege-Escalation-Schwachstelle in der SAP HANA-Datenbank (CVSS 8.8). Angreifer mit gültigen Zugangsdaten können zu einem anderen Benutzerkonto wechseln und sich möglicherweise Administratorrechte verschaffen. Ein erfolgreicher Angriff gefährdet Vertraulichkeit, Integrität und Verfügbarkeit vollständig.

OS-Command-Injection im Application Server

Hinweis #3675151 adressiert eine OS-Command-Injection-Schwachstelle im SAP Application Server for ABAP und SAP NetWeaver RFCSDK (CVSS 8.4). Administratoren mit angrenzendem Netzwerkzugriff können speziell präparierte Inhalte hochladen. Bei der Verarbeitung durch die Anwendung werden beliebige Betriebssystembefehle ausgeführt, was eine vollständige Systemkompromittierung ermöglicht.

Fehlende Autorisierungsprüfungen

Sicherheitshinweis #3688703 schließt eine Lücke im SAP NetWeaver Application Server ABAP und ABAP Platform aufgrund fehlender Autorisierungsprüfung (CVSS 8.1). Authentifizierte Angreifer können einen ferngesteuerten Funktionsbaustein missbrauchen, um vorhandene Formularroutinen im ABAP-System auszuführen. Dies kann erhebliche Auswirkungen auf Integrität und Verfügbarkeit haben.

Hinweis #3565506 behebt drei Schwachstellen in der SAP Fiori App für Intercompany Balance Reconciliation (CVSS 8.1). Die Lücken werden unter den CVE-Nummern CVE-2026-0511, CVE-2026-0496 und CVE-2026-0495 geführt. Der CVSS-Score resultiert aus einer fehlenden Autorisierung, die authentifizierten Nutzern eine Rechteausweitung ermöglicht.

Beiträge der Onapsis Research Labs

Das Onapsis Research Labs-Team hat wesentlich zum ersten SAP Patch Day 2026 beigetragen. Neben drei HotNews-Hinweisen unterstützte Onapsis SAP bei der Behebung von drei mittelprioren und einem niedrigprioren Sicherheitshinweis:

Cross-Site-Scripting im Business Connector
Hinweis #3666061 verweist auf zwei erforderliche Patches für SAP Business Connector (CVSS 6.1). Die von Onapsis entdeckte XSS-Schwachstelle ermöglicht nicht authentifizierten Angreifern das Erstellen manipulierter Links. Nutzer werden beim Klick auf eine vom Angreifer kontrollierte Website umgeleitet, wodurch Zugriff auf oder Manipulation von Webclient-Informationen möglich wird.

Open-Redirect-Schwachstelle in SRM
Das Onapsis-Team identifizierte drei ICF-Dienste in SAP Supplier Relationship Management, die von einer Open-Redirect-Lücke im SICF-Handler des SRM-Katalogs betroffen sind. Hinweis #3638716 (CVSS 4.7) führt eine Positivliste zulässiger Portaldomänen ein, um zu verhindern, dass nicht authentifizierte Angreifer Opfer über manipulierte URLs auf externe Websites weiterleiten.

Fehlende Autorisierung in Product Designer
Hinweis #3677111 behebt eine fehlende Autorisierungsprüfung in der Business Server Pages-Anwendung Product Designer Web UI (CVSS 4.3). Onapsis meldete, dass authentifizierte Nicht-Administrator-Nutzer auf nicht sensible Informationen zugreifen konnten.

Unzureichende Eingabeverarbeitung in Identity Management
Sicherheitshinweis #3657998 adressiert eine unzureichende Eingabeverarbeitung bei JNDI-Operationen in SAP Identity Management (CVSS 3.8). Authentifizierte Administratoren können speziell gestaltete REST-Anfragen senden, die ohne ausreichende Eingabeneutralisierung von JNDI-Operationen verarbeitet werden.

Fazit

Der Januar-Patch-Tag 2026 unterstreicht die kontinuierliche Zusammenarbeit zwischen SAP und externen Sicherheitsforschern. Mit neun gemeldeten Schwachstellen in sieben Sicherheitshinweisen leistete das Onapsis Research Labs-Team einen substanziellen Beitrag zur Erhöhung der SAP-Sicherheit. Die Onapsis-Plattform wird bereits aktualisiert, um die neu veröffentlichten Schwachstellen zu integrieren und Kunden den Schutz ihrer Systeme zu ermöglichen.

SAP Note	Type	Description	Priority	CVSS
3687749	New	[CVE-2026-0501] SQL Injection Vulnerability in SAP S/4HANA Private Cloud and On-Premise (Financials – General Ledger) FI-GL-GL-G	HotNews	9.9
3683579	Update	Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud CEC-SCC-PLA-PL	HotNews	9.6
3668679	New	[CVE-2026-0500] Remote code execution in SAP Wily Introscope Enterprise Manager (WorkStation) SV-SMG-DIA-WLY	HotNews	9.6
3685286	Update	[CVE-2025-42928] Deserialization Vulnerability in SAP jConnect – SDK for ASE BC-SYB-SDK	HotNews	9.1
3697979	New	[CVE-2026-0491] Code Injection vulnerability in SAP Landscape Transformation CA-LT-ANA	HotNews	9.1
3694242	New	[CVE-2026-0498] Code Injection vulnerability in SAP S/4HANA (Private Cloud and On-Premise) CA-DT-ANA	HotNews	9.1
3691059	New	[CVE-2026-0492] Privilege escalation vulnerability in SAP HANA database HAN-DB-SEC	High	8.8
3675151	New	[CVE-2026-0507] OS Command Injection vulnerability in SAP Application Server for ABAP and SAP NetWeaver RFCSDK BC-MID-RFC-SDK	High	8.4
3688703	New	[CVE-2026-0506] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform BC-DWB-DIC-F4	High	8.1
3565506	New	[CVE-2026-0511] Multiple vulnerabilities in SAP Fiori App (Intercompany Balance Reconciliation) FI-LOC-FI-RU	High	8.1
3681523	New	[CVE-2026-0503] Missing Authorization check in SAP ERP Central Component and SAP S/4HANA (SAP EHS Management) EHS-SAF	Medium	6.4
3687372	New	[CVE-2026-0499] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-NAV	Medium	6.1
3666061	New	[CVE-2026-0514] Cross-Site Scripting (XSS) vulnerability in SAP Business Connector BC-MID-BUS	Medium	6.1
3638716	New	[CVE-2026-0513] Open Redirect Vulnerability in SAP Supplier Relationship Management (SICF Handler in SRM Catalog) SRM-EBP-CAT	Medium	4.7
3655229	New	[CVE-2026-0493] Cross-Site Request Forgery (CSRF) vulnerability in SAP Fiori App (Intercompany Balance Reconciliation) FI-LOC-FI-RU	Medium	4.3
3677111	New	[CVE-2026-0497] Missing Authorization check in Business Server Pages Application (Product Designer Web UI) PLM-PPM-PDN	Medium	4.3
3655227	New	[CVE-2026-0494] Information Disclosure vulnerability in SAP Fiori App (Intercompany Balance Reconciliation) FI-LOC-FI-RU	Medium	4.3
3657998	New	[CVE-2026-0504] Insufficient Input Handling in JNDI Operations of SAP Identity Management BC-IAM-IDM	Low	3.8
3593356	New	[CVE-2026-0510] Obsolete Encryption Algorithm Used in NW AS Java UME User Mapping BC-JAS-SEC-UME	Low	3.0