top of page

SAP Security Patch Day - Juni 2026: Schwachstellen in Authentifizierung, Kernel und Web‑Plattformen

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • 9. Juni
  • 3 Min. Lesezeit

Mit dem SAP Security Patch Day Juni 2026 adressiert SAP mehrere Schwachstellen in sicherheitsrelevanten Kernkomponenten. Auffällig ist die Konzentration auf Authentifizierungsmechanismen, Kernel‑Validierungen und Web‑basierte Plattformen wie SAP Commerce Cloud. Solche Themen haben erfahrungsgemäß eine größere Tragweite als klassische Funktionsfehler. Entsprechend sollten die Hinweise nicht nur technisch bewertet, sondern im Kontext der eigenen Systemarchitektur priorisiert werden.


Im Folgenden geben wir einen Überblick über die relevantesten Schwachstellen, absteigend nach CVSS-Score sortiert, inklusive konkreter Handlungsempfehlungen und Unterstützungsmöglichkeiten durch Go Next.


SAP Security Patch Day Juni
Kategorisierung und Verteilung der Schwachstellen

Kritische Schwachstellen im Juni 2026


1. CVE‑2026‑44748 – XML Signature Wrapping in der SAML‑Authentifizierung (3746332)

  • CVSS-Score: 9,9 – Sehr hohe Priorität 

  • Beschreibung: Ein authentifizierter Angreifer kann eine gültig signierte Nachricht abgreifen und anschließend so manipulieren, dass der Verifier veränderte Identitätsinformationen akzeptiert. Das kann zu unbefugtem Zugriff und gravierenden Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit führen. Bei SAML ist das besonders kritisch, weil es faktisch den „Vertrauensanker“ vieler SSO‑Szenarien betrifft.


  • Lösung:

    • Note bzw. referenzierte Korrekturen/Support Packages priorisiert einspielen

    • SSO-/SAML‑Nutzung inventarisieren: Welche Systeme, welche IdPs, welche Trust‑Beziehungen?

    • Authentifizierungsflüsse und Logging gezielt prüfen

    • Workarounds nur als kurzfristige Notmaßnahme und mit klarer Rückfallstrategie einsetzen



2. CVE‑2026‑27671 – Speicherbeschädigung über RFC im ABAP Kernel (3717897)

  • CVSS-Score: 9,8 – Sehr hohe Priorität 

  • Beschreibung: Durch fehlerhafte RFC‑Protokollvalidierung im SAP‑Kernel kann ein nicht authentifizierter Angreifer speziell gestaltete RFC‑Requests senden und Speicherbeschädigung auslösen. Bei Kernel‑Themen ist die Tragweite oft größer als die Fehlerbeschreibung vermuten lässt,weil es die Basis betrifft, auf der alles andere läuft.

  • Lösung: 

    • Betroffene Kernel‑Releases/Levels identifizieren und Kernel‑Patch zeitnah einspielen

    • RFC‑Erreichbarkeit prüfen (Segmentierung, technische Gateways, Exponierung)

    • Change sauber planen: Testen, Regression‑Checks, Rollback‑Optionen definieren

    • Monitoring auf ungewöhnliche RFC‑Muster/Fehlerbilder schärfen (Crash-/Dump‑Korrelation)



3. CVE‑2026‑22732 – Spring Security: fehlende HTTP‑Security‑Header (3748262)

  • CVSS-Score: 9,1 – Sehr hohe Priorität 

  • Beschreibung: Unter bestimmten Bedingungen kann Spring Security keine HTTP‑Response‑Header schreiben, darunter auch Security‑Header. Das ist selten ein „System‑Down“-Thema, aber es kann die Web‑Schutzschicht spürbar schwächen, insbesondere bei öffentlich erreichbaren Commerce‑Szenarien oder strengeren Compliance‑Vorgaben.

  • Lösung: 

    • Betroffene Commerce-/Data‑Hub‑Stände prüfen und auf die von SAP bereitgestellten Releases aktualisieren

    • Nach Patch: Rebuild/Regeneration und Redeploy als festen Schritt einplanen

    • Security‑Header aktiv verifizieren (vor/nach Update), nicht nur „Patch eingespielt“ abhaken

    • Custom Extensions und Security‑Konfigurationen auf Nebeneffekte prüfen



4. CVE‑2026‑40128 – Directory Traversal im AS Java Web‑Container (3727078)

  • CVSS-Score: 9,0 – Sehr hohe Priorität 

  • Beschreibung: Ein nicht authentifizierter Angreifer kann eine schadhafte HTTP‑Anmeldeanforderung konstruieren und Parameter so manipulieren, dass Path Traversal möglich wird. Das kann dazu führen, dass Dateien außerhalb des vorgesehenen Kontexts verarbeitet werden, inklusive Zugriff/Änderung sensibler Informationen oder Beeinträchtigung des Systems.

  • Lösung: 

    • Patches/Support Packages einspielen

    • Externe Erreichbarkeit und Reverse‑Proxy‑Konfigurationen prüfen

    • Web‑Monitoring auf Traversal‑Patterns/auffällige Pfade ergänzen



5. CVE‑2026‑29145 / CVE‑2025‑66614 / CVE‑2026‑24734 – Tomcat: Schwächen in zertifikatsbasierter Authentifizierung/Validierung (3747484)

  • CVSS-Score: 7,4 – Hohe Priorität 

  • Beschreibung: Mehrere Tomcat‑Schwachstellen können vor allem bei Nicht‑Standardkonfigurationen dazu führen, dass Client‑Zertifikatsprüfungen und Validierungsmechanismen nicht wie erwartet greifen. Verfügbarkeit ist typischerweise nicht betroffen, aber Vertraulichkeit/Integrität können es sein.

  • Lösung:

    • Commerce‑Konfigurationen mit Client‑Zertifikaten gezielt prüfen (wo wird mTLS/Client‑Auth genutzt?)

    • Empfohlene SAP‑Updates einspielen und danach die TLS-/Zertifikatskette erneut validieren

    • Nicht‑Standard‑Setups dokumentieren und bewusst absichern

    • Security‑Tests auf Auth‑Bypass‑Szenarien erweitern



6. CVE‑2026‑44751 – Fehlende Berechtigungsprüfung im ABAP Dictionary (3735546)

  • CVSS-Score: 7,1 – Hohe Priorität 

  • Beschreibung: Der Application Server ABAP führt in bestimmten Fällen nicht die erforderlichen Berechtigungsprüfungen aus. Ein authentifizierter Benutzer mit niedrigen Privilegien kann dadurch Reportgenerierung so ausführen, dass Informationen eines anderen Benutzers überschrieben werden können.

  • Lösung:

    • Korrektur/Support Package einspielen

    • Berechtigungen rund um Entwicklung/Generierung/Administration regelmäßig auditieren

    • Kritische Rollen/Transaktionen mit besonderem Fokus prüfen

    • Integritätsrelevante Aktivitäten stärker monitoren (ungewöhnliche Generierungsvorgänge, Änderungen)


SAP Security Updates

Handlungsempfehlungen 


Um SAP-Systeme bestmöglich gegen Angriffe abzusichern, sollten Unternehmen die folgenden Maßnahmen zeitnah umsetzen:


  1. Patches zeitnah einspielen, insbesondere bei CVSS-Werten über 9,0.

  2. Kernel-Updates einplanen 

  3. Testumgebungen nutzen, bevor Updates in produktiven Systemen eingespielt werden.

  4. Überwachungstools einsetzen, um Schwachstellen in Echtzeit zu erkennen.

  5. Regelmäßige Security-Checks, um auch abseits der Patchdays sicherheitsrelevante Risiken zu identifizieren.



Wie wir euch bei der Absicherung eurer SAP-Systeme unterstützen


Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


✅ Regelmäßige Sicherheits-Checks:

Proaktive Überwachung und Analyse potenzieller Bedrohungen


Patch-Management:

Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates --> siehe Managed SAP Security Notes Service


Schwachstellen-Scans:

Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge


Risikominimierung:

Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im Juni


Der Juni 2026 bringt mehrere Schwachstellen, die in vielen Landschaften an zentralen Stellen sitzen: Identität, Kernel‑Stabilität und Web‑Security. Entsprechend sollten die Patches zeitnah eingespielt werden. Regelmäßige Patchzyklen, Sicherheitsanalysen und ein klar definiertes Patchmanagement sind entscheidend, um Geschäftsprozesse langfristig zu schützen. SAP Security ist und bleibt ein kontinuierlicher Prozess.


Ansonsten bleibt wie immer zu sagen: Bleibt wachsam und up-to-date!

 
 
 

Kommentare


bottom of page