Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
IT-Branche 10.06.2026 · 4 min Lesezeit

SAP Patchday Juni 2026: CVE‑2026‑44748 mit CVSS 9.9 – SAML-Bypass in NetWeaver ABAP

SAPs Juni-Patchday 2026 umfasst 15 Sicherheitshinweise, darunter eine kritische CVSS-9.9-Lücke in der SAML-Authentifizierung von NetWeaver ABAP. Angreifer mit niedrigen Rechten können Identitäten vollständig übernehmen – DACH-Unternehmen sollten sofort handeln.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
SAP Patchday Hero mit SAML-Bypass-Sicherheitslücke und Darstellung einer kritischen Authentifizierungsumgehung

Am 9. Juni 2026 hat SAP seinen monatlichen Security Patch Day veröffentlicht und dabei 15 neue Sicherheitshinweise bereitgestellt, davon vier als „HotNews" eingestufte kritische Schwachstellen. Im Mittelpunkt steht CVE-2026-44748 mit einem CVSS-Score von 9.9: Ein XML Signature Wrapping-Fehler in der SAML-Authentifizierung von SAP NetWeaver AS ABAP und der ABAP Platform ermöglicht es einem gering privilegierten, authentifizierten Angreifer, signierte XML-Dokumente zu manipulieren und falsche Identitätsinformationen einzuschleusen. Das Ergebnis ist eine vollständige Identitätsübernahme in zentralen ERP-Systemen – eine der schwerwiegendsten Schwachstellen, die SAP in diesem Jahr gemeldet hat.

Die Schwachstellen im Detail

CVE-2026-44748 basiert auf einem klassischen XML Signature Wrapping-Angriff (XSW). Dabei wird ein gültig signiertes SAML-Dokument so umstrukturiert, dass der Sicherheitsmechanismus die Signatur als korrekt akzeptiert, die eigentlich verarbeiteten Nutzdaten jedoch durch manipulierte Inhalte ausgetauscht wurden. Ein Angreifer mit einem beliebigen Nutzerkonto kann auf diesem Weg die Identität eines anderen – auch privilegierten – Nutzers annehmen und sich in das System einloggen, ohne das zugehörige Passwort zu kennen.

Besonders besorgniserregend ist der Umfang der betroffenen Versionen: Die Schwachstelle betrifft SAP_BASIS-Versionen 702 bis 919, was einen außergewöhnlich langen Patch-Footprint bedeutet und zahlreiche ältere sowie aktuelle SAP-Installationen einschließt.

Neben CVE-2026-44748 wurden drei weitere kritische Schwachstellen behoben:

  1. CVE-2026-27671 (CVSS 9.8): Memory Corruption über das RFC-Protokoll im ABAP-Kernel – ermöglicht potenziell Remote Code Execution.
  2. CVE-2026-22732 (CVSS 9.1): Spring Security-Schwachstelle in SAP Commerce Cloud und SAP Data Hub.
  3. CVE-2026-40128 (CVSS 9.0): Directory Traversal im Web Container von SAP NetWeaver Application Server Java.

Die Gesamtverteilung des Juni-Patchdays: 4 kritisch (HotNews), 2 hoch, 7 mittel, 2 niedrig.

Bin ich betroffen?

Von CVE-2026-44748 sind alle SAP-Installationen betroffen, die SAML als Authentifizierungsverfahren einsetzen und auf SAP_BASIS-Versionen 702 bis 919 basieren. Das betrifft konkret folgende Produkte und Komponenten:

ProduktSchwachstelleCVSS
SAP NetWeaver AS ABAP / ABAP Platform (BASIS 702–919)CVE-2026-44748 (SAML XSW)9.9
SAP NetWeaver AS ABAP / ABAP KernelCVE-2026-27671 (Memory Corruption RFC)9.8
SAP Commerce Cloud, SAP Data HubCVE-2026-22732 (Spring Security)9.1
SAP NetWeaver Application Server JavaCVE-2026-40128 (Directory Traversal)9.0

Systemverantwortliche sollten prüfen, welche BASIS-Version im jeweiligen System aktiv ist und ob SAML-basiertes Single Sign-On konfiguriert ist. Über das SAP Launchpad (SAP ONE Support) lässt sich anhand der jeweiligen SAP Security Note nachvollziehen, ob ein System im Scope liegt.

Wie behebe ich das?

SAP stellt für alle genannten Schwachstellen Security Notes über das SAP Launchpad bzw. SAP ONE Support bereit. Die Patches sollten unverzüglich eingespielt werden, wobei CVE-2026-44748 höchste Priorität genießt.

Für Systeme, bei denen ein sofortiger Patch nicht möglich ist, nennt SAP als temporären Workaround die Deaktivierung der SAML-Authentifizierung. Dieser Schritt ist allerdings nur bedingt praktikabel, da er bestehende SSO-Integrationen unterbricht und den Nutzungsbetrieb erheblich einschränken kann. Er sollte ausschließlich als kurzzeitige Überbrückungslösung bis zur Patch-Einspielung betrachtet werden.

Empfohlene Maßnahmen in der Reihenfolge der Priorität:

  1. SAP Security Note zu CVE-2026-44748 über SAP ONE Support abrufen und Patch umgehend einspielen.
  2. Patches für CVE-2026-27671, CVE-2026-22732 und CVE-2026-40128 in der regulären Wartung nachziehen.
  3. Solange der Patch aussteht: SAML-Authentifizierung temporär deaktivieren und Zugriffsprotokolle auf auffällige Anmeldemuster prüfen.
  4. Alle weiteren 11 Sicherheitshinweise des Juni-Patchdays im Rahmen der nächsten Wartungsrunde einplanen.

Grundsätzliche Maßnahmen zur Absicherung von Unternehmenskonten – etwa die konsequente Einführung von Mehr-Faktor-Authentifizierung, die CVE-2026-44748 als zusätzliche Schicht absichern kann – beschreibt die Anleitung Zwei-Faktor-Authentifizierung (2FA/MFA) einführen. Für den Fall, dass ein Angriff bereits stattgefunden hat, bietet der Ransomware-Notfallplan: Die ersten 60 Minuten eine strukturierte Erstreaktion.

Was bedeutet das für Unternehmen?

SAP NetWeaver ist das technische Fundament eines Großteils der ERP-Landschaft im DACH-Raum. Eine CVSS-9.9-Schwachstelle in der Authentifizierungsschicht dieses Systems ist daher kein isoliertes IT-Sicherheitsproblem, sondern ein unmittelbares unternehmerisches Risiko. Die erfolgreiche Ausnutzung von CVE-2026-44748 erlaubt einem Angreifer, sich als beliebiger Nutzer – einschließlich Systemadministratoren – anzumelden und damit vollständige Kontrolle über Geschäftsprozesse, Finanzdaten und sensible Unternehmensinformationen zu erlangen.

Mögliche Folgen einer Kompromittierung reichen von Datenverlust und Manipulation von Buchungs- oder Produktionsprozessen bis hin zu schwerwiegenden Compliance-Verstößen, etwa im Hinblick auf DSGVO oder branchenspezifische Regulierungen. Besonders in Umgebungen mit föderiertem SSO und weitreichenden SAP-Integrationen ist das laterale Bewegungspotenzial eines Angreifers nach einer erfolgreichen Identitätsübernahme erheblich.

Angesichts des großen Versions-Footprints (BASIS 702–919) und der Tatsache, dass SAML-Authentifizierung in vielen Unternehmen als Standardverfahren eingesetzt wird, ist davon auszugehen, dass eine erhebliche Zahl von Installationen betroffen ist. SAP-Betreiber sollten die Patches des Juni-Patchdays nicht auf den nächsten regulären Wartungszyklus verschieben, sondern CVE-2026-44748 als Notfall-Patch behandeln.

Quellen

  1. BleepingComputer: SAP fixes critical flaws in NetWeaver and Commerce Cloud
  2. SecurityWeek: SAP Patches Critical NetWeaver, Commerce Vulnerabilities
  3. heise online: SAP-Patchday – Kritische Lücken in SAP NetWeaver
Verwandt

Weiter lesen

Alle Artikel →
Zwei KI-Modellvarianten symbolisch dargestellt – eine mit Sicherheitsfilter, eine ohne
10.06.2026 ·3 min

Bundesregierung plant deutsches KI-Sicherheitsinstitut nach britischem Vorbild

Bundesregierung gründet deutsches AI Safety Institute (DE-AISI): Das virtuelle Institut soll unter Federführung von BSI und Bundesnetzagentur Risiken moderner KI-Modelle analysieren – Deutschland folgt damit USA, UK, Südkorea und Japan.
Symbolbild digitale Souveränität Europa – Suchmaschine und EU-Parlament
05.06.2026 ·3 min

EU-Parlament ersetzt Google durch Qwant als Standard-Suchmaschine – Signal für digitale Souveränität

Seit dem 4. Juni 2026 ist die französische Datenschutz-Suchmaschine Qwant die voreingestellte Standardsuche auf Edge und Firefox im Europäischen Parlament – ein klares Symbol für Europas wachsenden Willen zur digitalen Unabhängigkeit von US-Technologiekonzernen.
Hero-Bild eines modernen KI-Rechenzentrums in Magenta-Tönen mit Datenanzeigen zum Ausbau der Telekom-KI-Fabrik in München auf rund 20.000 Nvidia-GPUs.
02.06.2026 ·3 min

Deutsche Telekom verdoppelt KI-Fabrik in München auf rund 20.000 Nvidia-GPUs

Telekom-Chef Höttges kündigte am 1. Juni 2026 an, die Industrial AI Cloud in München zu verdoppeln. Die unterirdische KI-Fabrik soll künftig rund 20.000 Nvidia-Prozessoren betreiben.