SAP veröffentlicht 29 Sicherheitspatches im Februar – Code-Injection-Lücke in CRM und S/4HANA geschlossen

SAP hat am Februar-Patch-Day insgesamt 29 Sicherheitsupdates bereitgestellt. Im Fokus steht eine schwerwiegende Code-Injection-Schwachstelle in SAP CRM und S/4HANA, die das Ausführen beliebiger SQL-Befehle ermöglichte. Die Onapsis Research Labs trugen zur Identifizierung und Schließung mehrerer Sicherheitslücken bei.

Überblick: Februar-Patch-Day von SAP

Der Software-Hersteller SAP stellte im Februar 29 Sicherheitsaktualisierungen zur Verfügung – sowohl neue als auch überarbeitete Patches. Die Verteilung nach Prioritätsstufen:

• Drei Sicherheitshinweise mit HotNews-Klassifizierung
• Sieben Hinweise der Kategorie „High Priority“
• Weitere Updates mit geringerer Priorität

Von den 27 neu veröffentlichten Sicherheitshinweisen entstanden sieben aus der Kooperation mit den Onapsis Research Labs.

Code-Injection-Schwachstelle in SAP CRM und S/4HANA

Eine der Hauptschwachstellen betrifft SAP CRM sowie SAP S/4HANA. Die Sicherheitslücke ermöglichte Angreifern die Einschleusung und Ausführung beliebiger SQL-Anweisungen. Diese Art der Injection-Schwachstelle birgt erhebliche Risiken für die Datenintegrität und Systemsicherheit.

Beitrag der Onapsis Research Labs

Das Sicherheitsforschungsteam von Onapsis unterstützte SAP bei der Behebung von insgesamt acht Schwachstellen. Diese wurden in sieben separaten Sicherheitshinweisen dokumentiert und mit entsprechenden Patches versehen. Die Zusammenarbeit zwischen externen Sicherheitsforschern und SAP trägt zur kontinuierlichen Verbesserung der Produktsicherheit bei.

Die HotNews Notes im Detail

Die Onapsis Research Labs (ORL) unterstützten SAP bei der Behebung einer kritischen Code-Injection-Sicherheitslücke in SAP CRM und SAP S/4HANA, die mit dem höchsten CVSS-Score im Februar bewertet ist.

Die SAP-Sicherheitsmitteilung #3697099 mit einem CVSS-Score von 9.9 behebt diese Schwachstelle im Skript-Editor der Anwendung. Über diese Schwachstelle kann ein authentifizierter Angreifer kritische Funktionen ohne Berechtigung ausführen, darunter auch beliebige SQL-Anweisungen. Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung der Datenbank führen, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich beeinträchtigt werden. SAP hat mit dem Patch zusätzliche Allowlist-Prüfungen für den betroffenen generischen Funktionsmodulaufruf hinzugefügt. Als vorübergehende Abhilfe kann der betroffene ICF-Dienst deaktiviert werden.

Die Sicherheitsmeldung #3674774, die mit einem CVSS-Score von 9.6 bewertet ist, behebt eine Sicherheitslücke aufgrund fehlender Autorisierungsprüfung in SAP NetWeaver Application Server ABAP und ABAP Platform. Unter bestimmten Umständen kann ein authentifizierter Benutzer mit geringen Berechtigungen Remote Function Calls im Hintergrund ausführen, ohne über die erforderliche S_RFC-Autorisierung zu verfügen. Um die Sicherheitslücke zu schließen, müssen Kunden ein Kernel-Update durchführen und einen Profilparameter festlegen. Möglicherweise sind Anpassungen der Benutzerrollen und UCON-Einstellungen erforderlich, um Geschäftsprozesse aufrechtzuerhalten.

Die dritte HotNews #3697979 (CVSS-Score: 9.1) wurde mit dem Hinweis versehen, dass die Sicherheitslücke extern gemeldet wurde. Die Security Note wurde ursprünglich am SAP Patch Day im Januar veröffentlicht und betrifft dieselbe Code-Injection-Sicherheitslücke in SAP Landscape Transformation, die auch für SAP S/4HANA (Private Cloud und On-Premise) mit #3694242 behoben wurde. Der angreifbare RFC-Funktionsbaustein wurde SAP im Dezember 2025 von den Onapsis Research Labs gemeldet. 

Die High Priority Notes im Detail

Die SAP Security Note #3697567 mit einem CVSS-Score von 8.8 behebt eine Schwachstelle im Zusammenhang mit dem XML Signature Wrapping in SAP NetWeaver AS ABAP und ABAP Platform. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit Standardrechten, eine validierte signierte Nachricht zu erhalten und modifizierte signierte XML-Dokumente an das Verifizierungssystem zu senden. Dies kann dazu führen, dass manipulierte Identitätsinformationen akzeptiert werden, unbefugter Zugriff auf sensible Benutzerdaten erfolgt und die Nutzung des Systems gestört wird. Ein Workaround ist verfügbar, deckt jedoch nicht alle Anwendungsszenarien für signierte XML-Dokumente ab.

Der Hinweis #3705882 (CVSS-Score: 7.7) adressiert eine Schwachstelle im RFC-Modul in SAP Solution Tools Plug-In (ST-PI), durch die sensible Informationen an unberechtigte Benutzer offengelegt werden, die für weitere Systemangriffe genutzt werden könnten. Mit der Implementierung des Patches sind diese Informationen nicht länger gefährdet.

Die Onapsis Research Labs (ORL) unterstützten SAP bei der Behebung von zwei der sieben High Priority Notes.

Der SAP-Sicherheitshinweis #3703092 hat einen CVSS-Score von 7.7 und behebt eine Denial-of-Service-Sicherheitslücke in SAP Supply Chain Management. Das Team von Onapsis hat einen remote aktivierbaren Funktionsbaustein entdeckt, der es einem authentifizierten Angreifer mit Standardbenutzerrechten und Netzwerkzugriff ermöglicht, die Anzahl der Loop-Ausführungen zu kontrollieren. Durch wiederholtes Aufrufen dieses Moduls werden übermäßige Systemressourcen verbraucht, was zum Ausfall des Systems führen kann.

Eine weitere Denial-of-Service-Sicherheitslücke wurde von ORL-Team in SAP BusinessObjects BI Platform entdeckt. Durch das Senden gezielt gestalteter Anfragen können nicht authentifizierte Angreifer den Content Management Server (CMS) zum Absturz bringen und automatisch neu starten. Durch wiederholtes Senden dieser Anfragen kann der Angreifer eine anhaltende Unterbrechung des Dienstes verursachen, wodurch das CMS insgesamt nicht mehr verfügbar ist. Die Schwachstelle wurde mit einem CVSS-Score von 7.5 bewertet und mit dem Hinweis #3678282 gepatcht. Als vorübergehende Abhilfe kann CORBA SSL implementiert werden.

Die SAP-Sicherheitsmitteilung #3654236 (CVSS-Score: 7.5) befasst sich mit einer weiteren Denial-of-Service-Sicherheitslücke in SAP BusinessObjects BI Platform. Diese ermöglicht es einem nicht authentifizierten Angreifer, eine gezielte Netzwerkanfrage an den verifizierten Endpunkt zu senden. Dadurch wird die Authentifizierung umgangen, sodass berechtigte Benutzer keinen Zugriff mehr auf die Plattform haben. Mit dem Patch können Kunden den sicheren Endpunkt der Webanwendung mit Mutual TLS (mTLS) so konfigurieren, dass nur Anfragen von sicheren Backend-Servern akzeptiert werden. Als temporäre Lösung kann die Landschaft in verschiedene Netzwerksegmente unterteilt werden.

Der Sicherheitshinweis #3692405 mit einem CVSS-Score von 7.4 enthält einen Patch für SAP Commerce Cloud, der eine Version der Eclipse Jersey-Bibliothek enthält, die nicht mehr über die unter CVE-2025-12383 aufgeführte Race Condition angreifbar ist. Ohne diesen Patch könnte ein authentifizierter Benutzer die SSL-Vertrauensüberprüfung für Outbound-Verbindungen umgehen, was weitreichende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.

Hinweis #3674246, bewertet mit einem CVSS-Score von 7.3, behebt eine Open-Redirect-Sicherheitslücke in SAP BusinessObjects Business Intelligence Platform. Die Sicherheitslücke ermöglicht es authentifizierten Angreifern, Opfer auf eine vom Angreifer kontrollierte Domain umzuleiten und anschließend schädliche Inhalte herunterzuladen. Der Patch führt eine serverseitige Whitelist ein, um nicht validierte Weiterleitungen zu URLs von Drittanbietern zu verhindern.

SAP Note	Type	Description	Priority	CVSS
3697099	New	[CVE-2026-0488] Code Injection vulnerability in SAP CRM and SAP S/4HANA (Scripting Editor) CRM-IC-FRW	HotNews	9.9
3674774	New	[CVE-2026-0509] Missing Authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform BC-MID-RFC	HotNews	9.6
3697979	Update	[CVE-2026-0491] Code Injection vulnerability in SAP Landscape Transformation CA-DT-ANA	HotNews	9.1
3697567	New	[CVE-2026-23687] XML Signature Wrapping in SAP NetWeaver AS ABAP and ABAP Platform BC-SEC-WSS	High	8.8
3703092	New	[CVE-2026-23689] Denial of service (DOS) in SAP Supply Chain Management SCM-APO-CA-COP	High	7.7
3705882	New	[CVE-2026-24322] Missing Authorization check in SAP Solution Tools Plug-In (ST-PI) SV-SMG-SDD	High	7.7
3678282	New	[CVE-2026-0485] Denial of service (DOS) vulnerability in SAP BusinessObjects BI Platform BI-BIP-SRV	High	7.5
3654236	New	[CVE-2026-0490] Denial of service (DOS) in SAP BusinessObjects BI Platform BI-BIP-SRV	High	7.5
3692405	New	[CVE-2025-12383] Race Condition in SAP Commerce Cloud CEC-SCC-PLA-PL	High	7.4
3674246	New	[CVE-2026-0508] Open Redirect vulnerability in SAP BusinessObjects Business Intelligence Platform BI-BIP-SEC	High	7.3
3695912	New	[CVE-2026-24324] Denial of service (DOS) vulnerability in SAP BusinessObjects Business Intelligence Platform (AdminTools) BI-BIP-SRV	Medium	6.5
3672622	New	[CVE-2026-0484] Missing Authorization check in SAP NetWeaver Application Server ABAP and SAP S/4HANA BC-DWB-CEX-CF	Medium	6.5
3688319	New	[CVE-2026-24328] Open Redirection vulnerability in Business Server Pages Application (TAF_APPLAUNCHER) SV-SMG-TWB-CBT	Medium	6.1
3678417	New	[CVE-2026-0505] Multiple vulnerabilities in BSP Applications of SAP Document Management System CA-DMS-OP	Medium	6.1
3503138	Update	[CVE-2025-0059] Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) BC-FES-WGU	Medium	6
3689543	New	[CVE-2026-23684] Race condition vulnerability in SAP Commerce Cloud CEC-SCC-COM-BC-OCC	Medium	5.9
3679346	New	[CVE-2026-24319] Information Disclosure Vulnerability in SAP Business One (B1 Client Memory Dump Files) SBO-CRO-SEC	Medium	5.8
3687771	New	[CVE-2026-24321] Information Disclosure vulnerability in SAP Commerce Cloud CEC-SCC-COM-BC-OCC	Medium	5.3
3710111	New	[CVE-2026-24312] Missing authorization check in SAP Business Workflow BC-BMT-WFM	Medium	5.2
3691645	New	[CVE-2026-0486] Missing Authorization Check in ABAP based SAP systems SV-SMG-SDD	Medium	5
3697256	New	[CVE-2026-24325] Cross Site Scripting (XSS) vulnerability in SAP BusinessObjects Enterprise (Central Management Console) BI-BIP-CMC	Medium	4.8
3687285	New	[CVE-2026-23685] Insecure Deserialization vulnerability in SAP NetWeaver (JMS service) BC-JAS-JMS	Medium	4.4
3680390	New	[CVE-2026-24327] Missing Authorization Check in SAP Strategic Enterprise Management (Balanced Scorecard in BSP Application) FIN-SEM-CPM-BSC	Medium	4.3
3678009	New	[CVE-2026-24326] Missing authorization check in SAP S/4HANA Defense & Security (Disconnected Operations) IS-DFS-BIT	Medium	4.3
3215823	New	[CVE-2026-23688] Missing Authorization check in SAP Fiori App (Manage Service Entry Sheets – Lean Services) MM-PUR-SVC-SES	Medium	4.3
3680416	New	[CVE-2026-23681] Missing Authorization check in a function module in SAP Support Tools Plug-In SV-SMG-SDD	Medium	4.3
3122486	New	[CVE-2026-23683] Missing Authorization check in SAP Fiori App (Intercompany Balance Reconciliation) FI-LOC-FI-RU	Medium	4.3
3673213	New	[CVE-2026-23686] CRLF Injection vulnerability in SAP NetWeaver Application Server Java BC-MID-CON-JCO	Low	3.4
3678313	New	[CVE-2026-24320] Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP) BC-CST-IC	Low	3.1

Der Beitrag von Onapsis

Zusätzlich zur HotNews und den High Priority Notes unterstützte das Team der Onapsis Research Labs SAP bei der Behebung von fünf weiteren Schwachstellen, die in vier SAP-Sicherheitsmitteilungen behandelt wurden.

Das ORL-Team identifizierte eine Open-Redirect-Schwachstelle in der TAF_APPLAUNCHER Business Server Pages-Anwendung, die ausgenutzt werden könnte, um Benutzer auf von Angreifern kontrollierte Websites umzuleiten und so möglicherweise sensible Informationen im Browser des Opfers offenzulegen oder zu verändern. Die SAP Security Note #3688319 mit einem CVSS-Score von 6.1 patcht diese Schwachstelle, indem sie eine Sicherheitswarnung an Benutzer ausgibt, bevor eine Umleitung zu einer externen URL erfolgt. Wenn keine komponentenbasierte Testautomatisierung verwendet wird, kann die betroffene TAF_APPLAUNCHER-Anwendung deaktiviert werden.

SAP Security Note #3678417 behebt eine Open-Redirect-Sicherheitslücke und eine Cross-Site-Scripting-Sicherheitslücke in BSP-Anwendungen des SAP Document Management Systems, die beide mit einem CVSS-Score von 6.1 bewertet wurden. Der CVSS-Vektor der beiden Sicherheitslücken ist identisch und zeigt eine geringe Beeinträchtigung der Vertraulichkeit und Integrität der Anwendung. Der Patch deaktiviert die anfälligen Funktionen und URL-Parameter in den betroffenen BSP-Anwendungsseiten.

Das Team der Onapsis Research Labs hat eine Sicherheitslücke hinsichtlich der Offenlegung von Informationen in SAP Commerce Cloud entdeckt. Die Anwendung macht einige API-Endpunkte für nicht authentifizierte Benutzer zugänglich. Bei der Übermittlung geben diese Endpunkte sensible Informationen zurück, die nicht für die öffentliche Zugänglichkeit über das Frontend vorgesehen sind. Die Sicherheitslücke wurde mit einem CVSS-Score von 5.3 bewertet und mit dem Hinweis #3687771 gepatcht.

Die SAP Security Note #3680390 mit einem CVSS-Score von 4.3 behebt eine Sicherheitslücke aufgrund fehlender Autorisierungsprüfung in SAP Strategic Enterprise Management. Die Sicherheitslücke hat geringe Auswirkungen auf die Vertraulichkeit, da authentifizierte Angreifer auf Informationen zugreifen können, für deren Anzeige sie ansonsten nicht befugt sind. 

Lesen Sie auch:

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk