Top 10 der SAP Security Notes für April 2026.
1. Score 9.9 (Hot News)
Nummer: 3719353
[CVE-2026-27681] SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse
Ein authentifizierter Benutzer kann infolge mangelhafter Berechtigungsprüfungen in SAP Business Planning and Consolidation sowie SAP Business Warehouse Datenbankdaten mittels gezielter SQL-Anweisungen lesen, bearbeiten oder löschen. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems sind dabei erheblich.
2. Score 7.1 (High priority)
Nummer: 3731908
[CVE-2026-34256] Fehlende Berechtigungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise)
In SAP ERP sowie SAP S/4HANA (Private Cloud und On-Premise) ermöglicht eine fehlende Berechtigungsprüfung authentifizierten Angreifern, durch Ausführen eines bestimmten ABAP-Reports beliebige achtstellige ausführbare ABAP-Reports unbefugt zu überschreiben. Falls der betroffene Report danach aufgerufen wird, steht dessen eigentliche Funktion eventuell nicht mehr zur Verfügung. Eine erfolgreiche Ausnutzung beeinträchtigt die Verfügbarkeit sowie die Integrität des spezifischen Reports, wohingegen die Vertraulichkeit unberührt bleibt.
3. Score 6.5 (Medium Priority)
Nummer: 3680767
[CVE-2026-34264] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Human Capital Management für SAP S/4HANA
Bestimmte Rückmeldungen des Systems bei Berechtigungsprüfungen in SAP Human Capital Management für SAP S/4HANA erlauben es authentifizierten Benutzern mit geringen Privilegien, Inhalte außerhalb ihres Befugnisbereichs zu erraten und aufzulisten. Infolgedessen werden sensible Daten offengelegt, was die Vertraulichkeit stark beeinträchtigt, während Integrität und Verfügbarkeit unberührt bleiben.
4. Score 6.5 (Medium Priority)
Nummer: 3715177
[CVE-2026-27678] – Fehlende Berechtigungsprüfung in SAP-S/4HANA-Backend-OData-Service („Referenzstrukturen verwalten“)
Untergeordnete Entitäten lassen sich über exponierte OData-Services ohne entsprechende Befugnis aktualisieren oder löschen, weil im SAP-S/4HANA-Backend-OData-Service („Referenzstrukturen verwalten“) Berechtigungsprüfungen fehlen. Diese Schwachstelle beeinträchtigt die Integrität massiv, hat jedoch keinen Einfluss auf die Vertraulichkeit und Verfügbarkeit.
5. Score 6.5 (Medium Priority)
Nummer: 3715097
[CVE-2026-27677] – Fehlende Berechtigungsprüfung in SAP-S/4HANA-OData-Service („Referenzequipment pflegen“)
Einem Angreifer ist es möglich, untergeordnete Entitäten ohne die nötige Befugnis über OData-Services zu aktualisieren oder zu löschen, da im SAP-S/4HANA-OData-Service („Referenzequipment pflegen“) entsprechende Prüfungen fehlen. Die Integrität wird durch diese Schwachstelle erheblich beeinträchtigt, während keine Auswirkungen auf die Vertraulichkeit und Verfügbarkeit bestehen.
6. Score 6.5 (Medium Priority)
Nummer: 3696239
[CVE-2025-64775] Denial-of-Service-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform
In dem SAP-S/4HANA-OData-Service („Referenzequipment pflegen“) lassen sich untergeordnete Entitäten unbefugt über OData-Services aktualisieren und löschen, da keine Berechtigungsprüfungen stattfinden. Dies beeinträchtigt die Integrität in hohem Maße, wirkt sich jedoch nicht auf die Vertraulichkeit oder Verfügbarkeit aus.
7. Score 6.5 (Medium Priority)
Nummer: 3705094
[CVE-2026-34261] Fehlende Berechtigungsprüfung in SAP Business Analytics und SAP Content Management
Unbefugte Aufrufe bestimmter Remote-Funktionsbausteine sind für authentifizierte Benutzer in SAP Business Analytics und SAP Content Management möglich, da keine ausreichenden Berechtigungsprüfungen stattfinden. Dies kann den Zugriff auf sensible Informationen über die zugewiesenen Rechte hinaus ermöglichen. Die Integrität und Verfügbarkeit bleiben gewahrt, während die Vertraulichkeit beeinträchtigt wird.
8. Score 6.5 (Medium Priority)
Nummer: 3716767
[CVE-2026-27679] Fehlende Berechtigungsprüfung in SAP-S/4HANA-Frontend-OData-Service („Referenzstrukturen verwalten“)
Über den SAP-S/4HANA-Frontend-OData-Service („Referenzstrukturen verwalten“) können Angreifer mangels Berechtigungsprüfungen untergeordnete Entitäten unbefugt aktualisieren oder löschen. Während die Integrität hierdurch stark beeinträchtigt wird, bleiben Vertraulichkeit und Verfügbarkeit unberührt.
9. Score 6.1 (Medium Priority)
Nummer: 3692004
[CVE-2026-34257] Open-Redirect-Schwachstelle in SAP NetWeaver Application Server ABAP
Nicht authentifizierte Angreifer können infolge einer Open-Redirect-Schwachstelle in SAP NetWeaver Application Server ABAP schädliche URLs erzeugen, die Opfer bei Zugriff auf eine vom Angreifer kontrollierte Seite umleiten. Während die Verfügbarkeit der Anwendung unberührt bleibt, werden Vertraulichkeit und Integrität in geringem Maße beeinträchtigt.
10. Score 6.1 (Medium Priority)
Nummer: 3719397
[CVE-2026-27674] Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java)
Ein nicht authentifizierter Angreifer kann durch eine Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) manipulierte Eingaben bereitstellen, die die Anwendung auf externe Inhalte verweisen lassen. Sobald ein Opfer die betroffene Funktion nutzt, wird dieser kontrollierte Inhalt im Browser ausgeführt, was die Sitzung gefährden und die Ausführung beliebigen clientseitigen Codes ermöglichen kann. Während die Vertraulichkeit und Integrität dadurch beeinträchtigt werden, bleibt die Verfügbarkeit gewahrt.
>> Weitere Security Notes, 8 mit der Priorität Medium und 2 mit Low Priority https://me.sap.com/securitynotes
Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:
Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.
Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.
Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.