Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 11.06.2026 · 3 min Lesezeit

SAP Patchday Juni 2026: Vier kritische Lücken in NetWeaver und Commerce Cloud – CVSS bis 9,9

SAP hat am 9. Juni 2026 insgesamt 15 Sicherheitshinweise veröffentlicht, darunter vier kritische CVEs mit CVSS-Wertungen bis 9,9. Betroffen sind NetWeaver AS ABAP und Java, S/4HANA sowie Commerce Cloud. Administratoren sollten die Patches sofort einspielen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Grafik zum SAP Patchday im Juni 2026 mit vier kritischen Sicherheitslücken in SAP NetWeaver und SAP Commerce Cloud, darunter Schwachstellen mit einem CVSS-Wert von bis zu 9,9.

SAP hat am 9. Juni 2026 im Rahmen des regulären Security Patch Day insgesamt 15 neue Sicherheitshinweise veröffentlicht. Vier davon werden als kritisch eingestuft und erreichen CVSS-Wertungen zwischen 9,0 und 9,9. Betroffen sind unter anderem SAP NetWeaver AS ABAP, NetWeaver AS Java, S/4HANA, Commerce Cloud sowie Business Objects BI. Angesichts der Schwere der Schwachstellen empfiehlt SAP, die entsprechenden Security Notes unverzüglich anzuwenden.

Die Schwachstellen im Überblick

Die vier kritischen CVEs decken unterschiedliche Angriffsvektoren ab und betreffen mehrere Kernkomponenten der SAP-Produktpalette:

CVECVSSProduktTyp
CVE-2026-447489,9NetWeaver AS ABAPXML Signature Wrapping (SAML)
CVE-2026-276719,8NetWeaver / ABAP PlatformMemory Corruption via RFC-Protokoll
CVE-2026-227329,1Commerce Cloud / Data HubSpring-Security-Schwachstelle
CVE-2026-401289,0NetWeaver AS JavaPath Traversal im Web Container

CVE-2026-44748 ist die schwerwiegendste Lücke mit einem CVSS-Score von 9,9. Sie ermöglicht in SAML-Umgebungen die Manipulation signierter XML-Nachrichten im NetWeaver AS ABAP. Ein Angreifer könnte dadurch die Authentifizierung umgehen und sich ohne gültige Anmeldedaten Zugang verschaffen. CVE-2026-27671 (CVSS 9,8) betrifft eine Memory-Corruption-Schwachstelle im RFC-Protokoll der ABAP Platform, was im schlimmsten Fall zur Codeausführung führen kann. CVE-2026-22732 (CVSS 9,1) ist eine Schwachstelle in der Spring-Security-Komponente von SAP Commerce Cloud und Data Hub. CVE-2026-40128 (CVSS 9,0) erlaubt Path-Traversal-Angriffe im Web Container von NetWeaver Application Server Java, über die ein Angreifer auf Dateien außerhalb des vorgesehenen Verzeichnisses zugreifen kann.

Bin ich betroffen?

Folgende SAP-Produkte und Komponenten sind laut den veröffentlichten Security Notes potenziell betroffen:

  1. SAP NetWeaver Application Server ABAP (alle gängigen Releases)
  2. SAP NetWeaver Application Server Java (Web Container)
  3. SAP S/4HANA (enthält NetWeaver-Komponenten)
  4. SAP Commerce Cloud und SAP Data Hub
  5. SAP Business Objects BI Platform
  6. SAP Fiori (soweit auf NetWeaver aufbauend)

Administratoren sollten im SAP Support Portal unter „My Support → Security Notes" prüfen, welche der 15 neuen Security Notes auf ihre installierten Release-Stände zutreffen. Besonders dringlich ist die Prüfung für Systeme, auf denen SAML-basierte Authentifizierung oder RFC-Verbindungen nach außen aktiv sind.

Wie behebe ich das?

SAP stellt für alle vier kritischen CVEs dedizierte Security Notes bereit. Die Patches sind über den offiziellen SAP-Update-Kanal verfügbar:

  1. Im SAP Support Portal unter SAP Security Patch Day – Juni 2026 die relevanten Security Notes aufrufen.
  2. Die Notes für CVE-2026-44748 und CVE-2026-27671 haben höchste Priorität (CVSS > 9,8) und sollten zuerst eingespielt werden.
  3. Anschließend die Notes für CVE-2026-22732 und CVE-2026-40128 anwenden.
  4. Nach dem Einspielen: Funktionstest der betroffenen Systeme (SAML-Login, RFC-Verbindungen, Commerce-Cloud-Workflows).

Lässt sich ein sofortiger Patch nicht realisieren, empfiehlt sich als temporäre Maßnahme bei CVE-2026-44748 die Einschränkung des SAML-Zugangs auf vertrauenswürdige Netzwerksegmente sowie das Monitoring von RFC-Verbindungen auf anomale Aktivität. Für allgemeine Härtungsmaßnahmen auf Linux-basierten SAP-Hostsystemen bietet sich ergänzend die Anleitung Linux-Server absichern mit UFW und Fail2ban als Orientierung an.

Was bedeutet das für Unternehmen?

SAP-Systeme sind in vielen Unternehmen der DACH-Region das Rückgrat kritischer Geschäftsprozesse – von ERP über E-Commerce bis hin zu Business Intelligence. Eine erfolgreiche Ausnutzung von CVE-2026-44748 könnte Angreifern Administrator-Rechte auf zentrale Kernprozesse verschaffen, ohne dass gültige Anmeldedaten benötigt werden. Dies macht die Lücke besonders attraktiv für staatlich gesponserte Angreifer und Ransomware-Gruppen, die SAP-Systeme regelmäßig als hochwertige Ziele betrachten.

Heise Online und BleepingComputer haben den Patchday unabhängig voneinander bestätigt und bewerten die Lage als ernst. Angesichts der Kombination aus hohem CVSS-Score, breitem Angriffsvektor und der strategischen Bedeutung betroffener Systeme sollten SAP-Administratoren die Patches nicht auf den nächsten regulären Wartungszyklus verschieben, sondern ein außerplanmäßiges Update-Fenster einplanen.

Unternehmen, die noch kein strukturiertes Notfallverfahren für kritische Schwachstellen etabliert haben, finden mit dem Ransomware-Notfallplan: Die ersten 60 Minuten einen praktischen Einstieg in die Incident-Response-Vorbereitung.

Quellen: Heise Online – SAP-Patchday: Kritische Lücken in SAP NetWeaver und weitere Schwachstellen | BleepingComputer – SAP fixes critical flaws in NetWeaver and Commerce Cloud | SAP Security Patch Day – Juni 2026 (offiziell)

Verwandt

Weiter lesen

Alle Artikel →
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
11.06.2026 ·3 min

HTTP.sys-Lücke CVE-2026-47291 (CVSS 9,8): Ungepatchte Windows-Systeme durch unauthentifizierte RCE bedroht

CVE-2026-47291 (CVSS 9,8) im Windows-Kernel-Treiber HTTP.sys erlaubt unauthentifizierten Angreifern Remote-Code-Ausführung. Der Juni-2026-Patchday bringt den Fix – besonders gefährdet sind Umgebungen mit angepasstem MaxRequestBytes-Registrierungswert.
Dashlane Breach Hero Visual mit aufgebrochenen Passwort-Tresoren und Cyberangriffs-Optik
10.06.2026 ·4 min

Dashlane-Einbruch: Angreifer stehlen fast 20 verschlüsselte Passwort-Tresore via 2FA-Brute-Force

Angreifer nutzten eine Brute-Force-Attacke gegen Dashlanes Geräteregistrierungs-API, um TOTP-basierte Zwei-Faktor-Codes zu erraten und verschlüsselte Passwort-Tresore von weniger als 20 Personal-Plan-Nutzern herunterzuladen – ein Weckruf für MFA-Implementierungen.
Gebrochenes Sicherheitsschild über Serverraum als Symbol für Microsoft Defender Zero-Day-Schwachstellen
10.06.2026 ·3 min

Chrome Zero-Day CVE-2026-11645: 5. aktiv ausgenutzte V8-Lücke 2026 – sofort updaten

Google hat am 9. Juni 2026 ein Notfall-Update für Chrome veröffentlicht, das 74 Schwachstellen schließt – darunter den aktiv ausgenutzten Zero-Day CVE-2026-11645 in der V8-JavaScript-Engine. Es ist bereits der fünfte Chrome-Zero-Day des Jahres.