Top 10 der SAP Security Notes für Juli 2026.
1. Score 9.9 (Hot News)
Nummer: 3747367
[CVE-2026-44747] Speicherschadenschwachstelle in SAP NetWeaver Application Server ABAP
Durch eine Schwachstelle im SAP NetWeaver Application Server ABAP können authentifizierte Angreifer logische Fehler im SAP Memory Management gezielt ausnutzen. Dies kann einen Speicherschaden zur Folge haben, der unbefugte Datenzugriffe, Manipulationen oder Systemausfälle ermöglicht. In der Konsequenz sind die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendung massiv gefährdet.
2. Score 9.1 (Hot News)
Nummer: 3720138
[CVE-2026-27690] HTTP Request Smuggling in SAP Approuter
Eine HTTP-Request-Smuggling-Schwachstelle im SAP Approuter ermöglicht es unauthentifizierten Angreifern, manipulierte HTTP-Anfragen einzuschleusen. Dies führt zu einer Desynchronisation von Requests und Responses, wodurch vertrauliche Benutzerantworten offengelegt werden oder das System komplett blockiert werden kann. Die Schwachstelle beeinträchtigt somit die Vertraulichkeit und Verfügbarkeit des Systems erheblich.
3. Score 9.1 (Hot news)
Nummer: 3753495
[CVE-2026-44761] Unsichere Beispiel-Credentials in SAP Commerce Cloud
In der SAP Commerce Cloud besteht das Risiko, dass ein Standard-OAuth2-Client aktiv bleibt, dessen Zugangsdaten öffentlich im SAP Help Portal dokumentiert sind. Werden diese Beispiel-Credentials nicht manuell modifiziert, können unauthentifizierte Angreifer problemlos ein gültiges Zugriffstoken generieren. Dadurch erhalten sie unbefugten Lese- und Schreibzugriff auf bestimmte APIs. Ein Missbrauch hat gravierende Folgen für die Vertraulichkeit und Integrität der Daten, lässt die Verfügbarkeit des Systems jedoch unberührt.
4. Score 9.0 (Hot News)
Nummer: 3727078
[CVE-2026-40128] Directory-Traversal-Schwachstelle in SAP NetWeaver Application Server Java (Web-Container)
Über eine Sicherheitslücke im Web-Container des SAP NetWeaver Application Server Java können unauthentifizierte Angreifer manipulierte HTTP-Anmeldeanfragen senden. Durch die Manipulation von Dateieinschlussparametern lässt sich ein Pfadtraversal erzwingen, wodurch das System die eingebundene Datei verarbeitet. Dies ermöglicht es Angreifern, sensible Daten einzusehen, zu verändern oder Teile des lokalen Systems lahmzulegen.
Änderungsverlauf:
v17 (Aktuelle Version – Update vom 14. Juli 2026): Neuveröffentlichung des SAP-Hinweises mit aktualisierten Angaben zu Support Packages & Patches. Die Fehlerbehebung für ENGINEAPI 7.50 wurde auf die Support Packages SP020 bis SP028 ausgeweitet.
v13: Ursprünglich für Kunden freigegebene Erstversion.
5. Score 8.8 (High Priority)
Nummer: 3758101
[CVE-2026-40860] Mehrere Schwachstellen in Apache Camel innerhalb von SAP Integration Suite (Edge Integration Cell)
CVE-2026-40860 – Unsichere Deserialisierung von JMS ObjectMessage in camel-jms, camel-sjms, camel-sjms2 und camel-amqp (CVSS 8.8)
Die Komponenten zur Nachrichtenbindung in Apache Camel wandeln eingehende Daten ohne ausreichende Sicherheitsfilter oder Whitelists in Java-Objekte um. Angreifer, die Zugriff auf den Message Broker besitzen, können durch gezielt manipulierte Nachrichten eine Remotecodeausführung (RCE) erzwingen. Dies gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Gesamtsystems massiv.
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2026-40453 – Unvollständiger Patch für CVE-2025-27636 in non-HTTP HeaderFilterStrategies ermöglicht Header-Injection durch Groß-/Kleinschreibung (CVSS 8.5)
Da die Header-Filtermechanismen von Apache Camel auf eine strikte Groß-/Kleinschreibung prüfen, lässt sich die Filterung durch das Einschleusen von internen Headern in abweichender Schreibweise umgehen. Angreifer mit Zugriff auf den Message Broker können dadurch Remotecode ausführen und unbefugt Daten auf nachgelagerten Systemen schreiben. Die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung sind hierdurch stark beeinträchtigt.
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
CVE-2026-33454 – Fehlender Inbound Header Filter in MailHeaderFilterStrategy ermöglicht RCE via MIME-Header-Injection (CVSS 7.7)
Eingehende MIME-Header mit Camel-Präfix werden von der Mail-Komponente in Apache Camel nicht gefiltert. Angreifer können über präparierte E-Mails schädliche Header einschleusen, um nachgeschaltete Routen zu manipulieren und verwundbare Systemkomponenten zu kompromittieren. Dies hat gravierende Folgen für die Vertraulichkeit und Integrität der Daten, während das Risiko für die Verfügbarkeit der Anwendung als gering eingestuft wird.
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
6. Score 8.4 (High Priority)
Nummer: 3692165
[CVE-2026-0487] DLL-Hijacking-Schwachstelle in SAProuter unter Microsoft Windows
Unter Microsoft Windows ist der SAProuter anfällig für das Nachladen nicht vertrauenswürdiger Dynamic-Link-Library-Dateien (DLLs) durch nicht authentifizierte Angreifer. Dies ermöglicht es Dritten, den regulären DLL-Ladeprozess zu kapern („DLL Hijacking“) und schädlichen, beliebigen Code direkt auf dem System auszuführen. Ein solcher Angriff hat gravierende Konsequenzen für die Vertraulichkeit, Integrität und Verfügbarkeit des gesamten Systems.
7. Score 8.2 (Medium Priority)
Nummer: 3748227
[CVE-2026-44752] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java (Konfigurationsassistent)
Im SAP NetWeaver Application Server Java existiert eine Schwachstelle, über die nicht authentifizierte Angreifer Schadcode in Form von JavaScript über speziell präparierte URLs einschleusen können. Sobald ein Anwender eine solche URL aufruft, wird das Skript direkt in dessen Browser ausgeführt. Dies erlaubt es dem Angreifer, vertrauliche Sitzungsinformationen (Session-Daten) abzugreifen oder die im Client-Browser angezeigten, nicht-sensiblen Daten zu manipulieren. Die Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit, geringe Folgen für die Integrität und beeinträchtigt die Verfügbarkeit der Anwendung nicht.
8. Score 8.1 (Medium Priority)
Nummer: 3741519
[CVE-2026-44745] Open-Redirect-Schwachstelle in SAP Approuter
Der SAP Approuter prüft in bestimmten Konfigurationen eingehende Request-Header während des OAuth2-Authentifizierungsprozesses unzureichend. Diese Schwachstelle erlaubt es nicht authentifizierten Remote-Angreifern, manipulierte Links zu generieren. Klickt ein Opfer auf einen solchen Link, kann sich der Angreifer unberechtigten Zugriff verschaffen. Ein erfolgreicher Angriff gefährdet die Vertraulichkeit und Integrität der Anwendung in hohem Maße, während die Verfügbarkeit unangetastet bleibt.
9. Score 8.1 (Medium Priority)
Nummer: 3763800
[Mehrere CVEs] Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud
CVE-2026-43512 – Umgehung der Digest-Authentifizierung (CVSS 8.1)
Bei der Verarbeitung von Authentifizierungsanfragen fehlerhafter bzw. nicht existierender Benutzerkonten in der zugrunde liegenden Identitätsdatenbank weist Apache Tomcat logische Mängel auf. Ein anonymer Remote-Angreifer kann diesen Fehler nutzen, um die Anmeldeprozesse auszuhebeln und unbefugten Zugriff auf geschützte Systembereiche zu erlangen. Dies birgt erhebliche Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Plattform.
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2026-41293 – Unzureichende Validierung von HTTP/2-Request-Headern (CVSS 8.1)
Apache Tomcat überprüft dekodierte Zeichen innerhalb von HTTP/2-Anfrageheadern nicht fehlerfrei. Nicht authentifizierte Angreifer aus dem Netzwerk können über manipulierte Requests mit unzulässigen Header-Elementen unvorhersehbare Systemreaktionen hervorrufen. Ein Missbrauch hat potenziell schwerwiegende Konsequenzen für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2026-43515 – Fehlerhafte Rechtevergabe bei kollidierenden Sicherheitsvorgaben (CVSS 7.4)
Aufgrund einer ungenauen Umsetzung deklarativer Autorisierungsregeln bei überlappenden Sicherheitsvorgaben in Apache Tomcat können externe, unbefugte Akteure bestehende Zugriffssperren aushebeln. Auf diesem Weg lässt sich unberechtigter Zugriff auf sensible Ressourcen erzwingen, was die Vertraulichkeit und Integrität des Systems stark beeinträchtigt.
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
10. Score 7.6 (Medium Priority)
Nummer: 3773304
[CVE-2026-58233] Schwachstelle bezüglich Remote-Ausführung von Code in Anhangs-Tool (ctsAttach) von SAP Change and Transport System
Über das Anhangs-Tool (ctsAttach) im SAP Change and Transport System können authentifizierte Angreifer eine manipulierte Archivdatei in das System einschleusen. Sobald diese Datei durch die Anwendungsbibliothek verarbeitet wird, löst sie eine unsichere Deserialisierung aus. Damit der Angriff erfolgreich ist, muss ein Anwender die schädliche Archivdatei aktiv ausführen – geschieht dies, kann der Angreifer Schadcode aus der Ferne ausführen (RCE), sensible Systemdaten abgreifen sowie die Kontrolle über das System und dessen Prozesse übernehmen. Die Schwachstelle gefährdet die Vertraulichkeit und Integrität der Daten massiv, während das Risiko für die Systemverfügbarkeit als gering eingestuft wird.
>> Weitere Security Notes https://me.sap.com/securitynotes
Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:
Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.
Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.
Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.


