Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

SAP-Patchday: Teils kritische Sicherheitslücken in mehreren Produkten gefixt

Дата публикации: 14-07-2026 08:55:00

Im Juli verarzten die Programmierer von SAP 16 teils kritische Sicherheitslücken in mehreren Produkten.

Основное содержимое страницы с новостью.

Die Entwickler von SAP haben zum Patchday im Juli 16 neue Sicherheitsnotizen veröffentlicht. Davon behandeln drei als kritisches Risiko eingestufte Schwachstellen in mehreren Produkten.

In der Patchday-Übersicht listet SAP die einzelnen Meldungen säuberlich auf. Kurz vor Höchstwertung landet ein möglicher Speicherzugriffsfehler aufgrund von Logikfehlern in der Speicherverwaltung von SAP NetWeaver Application Server ABAP, durch den angemeldete Angreifer unbefugt auf Daten zugreifen und diese etwa verändern oder gar einen Denial-of-Service provozieren können (CVE-2026-44747, CVSS 9.9, Risiko „kritisch“). In SAP Approuter können hingegen bösartige Akteure HTTP-Anfragen einschleusen, durch die nicht authentifizierte Angreifer die Synchronisation von Anfragen und Antworten aus dem Tritt bringen können. Das führt zur Offenlegung von User-Antworten oder zum Lahmlegen des Systems (CVE-2026-27690, CVSS 9.1, Risiko „kritisch“). Ein voreingestelltes und öffentlich dokumentiertes Beispiel-Konto für den OAuth2-Client gefährdet zudem die Sicherheit der SAP Commerce Cloud. Angreifer können sich damit anmelden und Daten lesen und manipulieren, erklärt SAP (CVE-2026-44761, CVSS 9.1, Risiko „kritisch“).

Weitere verwundbare SAP-Produkte

Die Apache-Camel-Komponente der SAP Integration Suite reißt mehrere Sicherheitslücken auf (CVE-2026-40453, CVE-2026-33454; bis CVSS 8.8, Risiko „hoch“). Außerdem hat der SAProuter unter Windows eine DLL-Hijacking-Schwachstelle (CVE-2026-0487, CVSS 8.4, Risiko „hoch“). In SAP NetWeaver Application Server Java(Configuration Wizard) klafft eine Cross-Site-Scripting-Lücke (CVE-2026-44752, CVSS 8.2, Risiko „hoch“), zudem agiert der SAP Approuter unter Umständen als Open Redirect (CVE-2026-44745, CVSS 8.1, Risiko „hoch“). Der Apache-Tomcat-Server der SAP Commerce Cloud reißt ebenfalls mehrere Lücken auf (CVE-2026-43512, CVE-2026-41293, CVE-2026-43515; bis CVSS 8.1, Risiko „hoch“). Das SAP Change and Transport System Attach Tool (ctsattach) enthält zudem eine Codeschmuggel-Lücke (CVE-2026-58233, CVSS 7.6, Risiko „hoch“).

Sicherheitslücken mit mittlerem Bedrohungsgrad betreffen SAP NetWeaver Enterprise Portal, ui5/webcomponents-base, SAP S/4HANA Project Management (PPM-PRO), SAP NetWeaver Application Server ABAP (applications based on Business Server Pages), SAP S/4HANA (Draft operation), S/4 HANA (Create Single Payment) sowie SAP CRM (WebClient UI). In SAP HANA Extended Application Services classic model (User Self Service) haben die Programmierer zudem eine als „niedriges“ Risiko eingestufte Lücke geschlossen.

IT-Verantwortliche sollten die bereitstehenden Updates zügig anwenden, um die Angriffsfläche in ihren Netzen zu minimieren. Der SAP-Patchday im Juni hatte einen ähnlichen Umfang. Dort hatten die Programmierer 15 Sicherheitslücken ausgebessert, wovon ebenfalls drei als kritisch eingestuft wurden.

(dmk)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Microsoft-Patchday: Neuer Rekord mit 622 gefixten Schwachstellen0515-07-2026
2SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken-2615-07-2026
3Schon wieder: Forscher leakt Zero-Day für Windows0510-06-2026
4openSUSE Leap 16.0 ffmpeg-7 Moderate Integer Overflow Vuln 2026-21211-10503-07-2026
5openSUSE Leap 16.0 libslirp Moderate TCP Leak Vulnerability 2026-21216-10503-07-2026
6Kritische Sicherheitslücken bei Yarbo-Mährobotern entdeckt-3710-06-2026
7openSUSE Leap 16.0 docker-stable Important Threats Fix 2026-21205-10503-07-2026
8Sicherheitslücke bei der FIFA: War der WM-Stream bedroht?0719-06-2026
9Passwort-Manager LastPass warnt erneut vor Datenleck-2625-06-2026
10Next.js strukturiert Sicherheitsmeldungen neu0514-07-2026

Классификация: Происшествия. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 5. Источник: www.heise.de.