top of page
Suche

SAP Security Patch Day - Januar 2026: Kritische Schwachstellen und Handlungsempfehlungen

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • 13. Jan.
  • 3 Min. Lesezeit

Der erste SAP Security Patch Day im neuen Jahr bringt erneut eine Reihe von Hot News und kritisch bewerteter Sicherheitslücken mit sich. Besonders auffällig: Mehrere Schwachstellen ermöglichen Code-Injection, SQL-Injection oder Berechtigungseskalationen, die bei erfolgreicher Ausnutzung zu einer vollständigen Kompromittierung von SAP-Systemen führen können.


Unternehmen, die SAP S/4HANA, SAP HANA, SAP NetWeaver oder SAP Solution Manager betreiben, sollten diesen Patch Day priorisiert behandeln. In diesem Beitrag geben wir einen Überblick über die relevantesten Schwachstellen, absteigend nach CVSS-Score sortiert, inklusive konkreter Handlungsempfehlungen und Unterstützungsmöglichkeiten durch Go Next.


SAP Security Patch Day Januar
Kategorisierung und Verteilung der Schwachstellen

Kritische Schwachstellen im Januar 2026


1. CVE-2026-0501 – SQL-Injection in SAP S/4HANA Financials (General Ledger) (3687749)

  • CVSS-Score: 9,9 – Sehr hohe Priorität 

  • Beschreibung: Durch unzureichende Eingabevalidierung kann ein authentifizierter Benutzer manipulierte SQL-Abfragen ausführen. Dadurch lassen sich Daten lesen, verändern oder löschen, was Vertraulichkeit, Integrität und Verfügbarkeit massiv gefährdet.


  • Lösung:

    • Sicherheitshinweis unverzüglich einspielen

    • RFC-Berechtigungen (Objekt S_RFC) prüfen und restriktiv konfigurieren

    • Externe RFC-Zugriffe auf Funktionsgruppe FGL_BCF unterbinden



2. CVE-2026-0500 – Remote Code Execution in SAP Wily Introscope Enterprise Manager (3668679)

  • CVSS-Score: 9,6 – Sehr hohe Priorität 

  • Beschreibung: Ein nicht authentifizierter Angreifer kann über manipulierte JNLP-Dateien beliebige Befehle auf dem Zielsystem ausführen, sobald ein Benutzer einen präparierten Link öffnet.

  • Lösung: 

    • Upgrade auf Enterprise Manager 10.8 SP01 Patch 2 (10.8.0.220)

    • Alternativ: Nutzung der Standalone Workstation statt JNLP

    • Exponierte Introscope-Komponenten prüfen und absichern



3. CVE-2026-0498 – Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud & On-Premise) (3694242)

  • CVSS-Score: 9,1 – Sehr hohe Priorität 

  • Beschreibung: Ein über RFC exponierter Funktionsbaustein erlaubt Administratoren die Einschleusung von ABAP- oder Betriebssystembefehlen – effektiv eine Backdoor mit vollständigem Systemzugriff.

  • Lösung: 

    • Korrekturanleitung bzw. Support Packages einspielen

    • RFC-exponierte Funktionsbausteine regelmäßig auditieren

    • Administrationsberechtigungen streng begrenzen



4. CVE-2026-0491 – Code-Injection-Schwachstelle in SAP Landscape Transformation (3697979)

  • CVSS-Score: 9,1 – Sehr hohe Priorität 

  • Beschreibung: Durch fehlende Berechtigungsprüfungen kann über RFC beliebiger Code eingeschleust werden. Die Schwachstelle wirkt wie eine versteckte Hintertür.

  • Lösung: 

    • Korrekturanleitungen bzw. Support Packages einspielen

    • RFC-Zugriffe auf LT-Funktionsbausteine überprüfen

    • DMIS-Systeme besonders schützen (oft hochprivilegiert)



5. CVE-2026-0492 –Berechtigungseskalation in der SAP-HANA-Datenbank (3691059)

  • CVSS-Score: 8,8 – Hohe Priorität 

  • Beschreibung: Ein Benutzer kann zu einem anderen (potenziell administrativen) Benutzer wechseln. Dies ermöglicht eine vollständige Kompromittierung der HANA-Datenbank.

  • Lösung:

    • Upgrade auf HANA 2.0 SPS07 Rev. 79.07 oder SPS08 Rev. 88

    • Benutzer- und Rollenkonzepte überprüfen

    • HANA-Systeme regelmäßig sicherheitstechnisch härten



6. CVE-2026-0507 – OS Command Injection im SAP NetWeaver RFC SDK (3675151)

  • CVSS-Score: 8,4 – Hohe Priorität 

  • Beschreibung: Durch fehlerhafte Validierung im rfcExec-Kontext können Betriebssystembefehle eingeschleust werden.

  • Lösung:

    • Kernel- und RFCSDK-Patches einspielen

    • rfcExec.sec korrekt konfigurieren

    • Einsatz von rfcExec regelmäßig überprüfen

7. CVE-2026-0506 – Fehlende Berechtigungsprüfung in SAP NetWeaver AS ABAP (3688703)

  • CVSS-Score: 8,1 – Hohe Priorität 

  • Beschreibung: Über eine RFC-Funktion können FORMs ausgeführt werden, was Datenmanipulation und Systemeingriffe ermöglicht.

  • Lösung: 

    • Support Packages bzw. Korrekturanleitungen einspielen

    • Nicht benötigte RFC-Funktionen deaktivieren

    • ABAP-Berechtigungen überprüfen



8. CVE-2026-0511 / CVE-2026-0496 / CVE-2026-0495 – Mehrere Schwachstellen in SAP-Fiori-App „Konzernabstimmung“ (3565506)

  • CVSS-Score: 8,1 – Hohe Priorität 

  • Beschreibung: Die kritischste Schwachstelle betrifft eine fehlende Berechtigungsprüfung, durch die ein authentifizierter Benutzer unzulässig Rechte erweitern kann.

    Zusätzlich bestehen Schwachstellen im Bereich unsicherer Datei-Uploads sowie einer fehlerhaften Sicherheitskonfiguration, die u. a. Phishing-Szenarien ermöglichen.

  • Betroffene CVEs:

    • CVE-2026-0511: Fehlende Berechtigungsprüfung (CVSS 8,1)

    • CVE-2026-0496: Unsicherer Datei-Upload (CVSS 6,6)

    • CVE-2026-0495: Fehlerhafte Sicherheitskonfiguration (CVSS 5,1)

  • Lösung: Einführung zusätzlicher Berechtigungsprüfungen, Einschränkung des Datei-Uploads sowie Entfernung der Möglichkeit zum Versand von Dateien an beliebige E-Mail-Adressen.

    Einspielen der im SAP-Hinweis 3565506 genannten Support Packages oder Korrekturanleitungen.





SAP Security Updates

Handlungsempfehlungen 


Um SAP-Systeme bestmöglich gegen Angriffe abzusichern, sollten Unternehmen die folgenden Maßnahmen zeitnah umsetzen:


  1. Patches zeitnah einspielen, insbesondere bei CVSS-Werten über 9,0.

  2. Kernel-Updates einplanen 

  3. Testumgebungen nutzen, bevor Updates in produktiven Systemen eingespielt werden.

  4. Überwachungstools einsetzen, um Schwachstellen in Echtzeit zu erkennen.

  5. Regelmäßige Security-Checks, um auch abseits der Patchdays sicherheitsrelevante Risiken zu identifizieren.



Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt


Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


✅ Regelmäßige Sicherheits-Checks:

Proaktive Überwachung und Analyse potenzieller Bedrohungen


Patch-Management:

Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates --> siehe Managed SAP Security Notes Service


Schwachstellen-Scans:

Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge


Risikominimierung:

Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im Januar


Der SAP Security Patch Day Januar 2026 zeigt erneut, wie schnell Schwachstellen zu einem echten Risiko für Geschäftsprozesse werden können. Besonders Injection- und Berechtigungsfehler gehören zu gefährlichen Angriffspfaden in SAP-Systemen.

Unser Rat: Priorisiert Notes mit CVSS ≥ 9, prüft RFC- und Berechtigungskonzepte kritisch und setzt auf eine strukturierte Patch-Strategie. 


Ansonsten wie immer: Bleibt wachsam und up-to-date!

Kommentare

bottom of page