Zunächst die wichtigsten Fakten: 15 neue Sicherheitshinweise, 1 Aktualisierung eines Hinweises aus dem letzten Monat und 1 Hot News mit einem CVSS von 0.0. Ja, Sie haben richtig gelesen. Mehr zu dieser Kuriosität am Ende.
smarterSec Hinweis:
Wenn Sie SAP einsetzen, ist das Installieren von Patches nicht nur „eine Option“ und „Nice-to-have“. Das war es noch nie. Was Sebastian Schönhöfer in unserem Webinar vom ersten Quartal 2026 gezeigt hat, sollte alle verbleibenden Zweifel ausräumen: Selbst eine „moderate“ Schwachstelle mit einem CVSS-Score von 5,5 reicht einem versierten Angreifer aus, um echten Schaden anzurichten.
Ganz oben. Eine SQL Injection…Schon wieder! (Note 3724838 | CVSS 9.6)
Ähnlich wie bei der Meldung mit höchster Priorität vom April handelt es sich auch diesmal um eine SQL-Injection-Sicherheitslücke. Diesmal unter der Nummer 3724838. Betroffen ist eine Vielzahl von ABAP-basierten SAP-NetWeaver-AS-Systemen, darunter auch Ihre S/4HANA-Landschaft. Mit einem CVSS-Score von 9,6 sollten Sie diese Meldung nicht auf die lange Bank schieben: Sofortiges Handeln ist erforderlich.
SAP Commerce Cloud im Visier (Note 3733064 | CVSS 9.6)
Der Hinweis mit zweithöchster Priorität betrifft die SAP Commerce Cloud. Da dieses Produkt nicht im Portfolio jedes Kunden enthalten ist, haben einige von Ihnen diesen Monat vielleicht leichtes Spiel. Die technische Grundlage bildet hier ein Java-Stack. Wenn Sie die Commerce Cloud einsetzen, sollten Sie umgehend die neuesten Support Packages installieren.
OS Command Execution in NW AS ABAP (Note 3732471)
Als Nächstes folgt Hinweis 3732471, der ebenfalls auf NetWeaver AS ABAP basiert und eine Sicherheitslücke bei der Ausführung von Betriebssystembefehlen behebt – eine Schwachstelle, die stets zu den kritischsten zählt. Der Fix führt neue Berechtigungsprüfungen ein, was sofort die Frage aufwirft: Wie wirkt sich das auf meine bestehenden Anwendungen und Rollen aus?
Ein hervorragendes Werkzeug zur Beantwortung dieser Frage ist der ABAP Call Monitor, der dabei hilft, festzustellen, welche Benutzer den betreffenden Code ausgeführt haben und deren Rollen daher möglicherweise angepasst werden müssen, um nach dem Patch keinen Problem zu bekommen.
Benötigen Sie Hilfe mit dem ABAP Call Monitor? Kontaktieren Sie uns.
Lebe wohl, RSBDCOS0 (Note 3730019)
Nun zu einem etwas wehmütigen Moment: Mit dem Hinweis 3730019 stellt SAP den Report RSBDCOS0 offiziell ein. Ein Tool, an das sich viele langjährige Basis-Mitarbeiter erinnern werden. Es fungierte im Wesentlichen als ABAP-basierte Shell, mit der man direkt aus dem SAP-GUI heraus mit dem Betriebssystem interagieren konnte.
Aus Sicherheitssicht macht die Stilllegung durchaus Sinn. Das Tool war von seiner Konzeption her ein dauerhaftes Einfallstor für potenzielle OS-Command Injections. Die interessantere Frage lautet: Warum wird diese Transaktion gerade jetzt abgeschafft? Eine sehr wahrscheinliche Antwort ist „RISE with SAP“, welches die Verantwortung auf Betriebssystemebene von den Kunden auf SAP verlagert. Tools wie RSBDCOS0 sind nicht nur riskant, sondern auch mit diesem Betriebsmodell nicht vereinbar.
Eine Supply Chain Attack mit einem CVSS 0.0? (Hot News 3747787)
Das hier verdient einen zweiten Blick. Der SAP Hot News-Hinweis 3747787 befasst sich mit dem SAP-CAP-Supply-Chain-Angriff (auch bekannt als „Mini Shai-Hulud“) und weist einen CVSS-Wert von 0,0 auf.
Wie kann ein Supply-Chain-Angriff einen Wert von Null erreichen? Weil CVSS die Ausnutzbarkeit und die Auswirkungen innerhalb eines definierten Umfangs misst und in diesem Fall die Schwachstelle bereits an der Quelle behoben wurde, was bedeutet, dass zum Zeitpunkt der Veröffentlichung des Hinweises kein ausnutzbarer Vektor mehr vorhanden ist. Der Wert spiegelt den Zustand nach der Behebung wider, nicht die Schwere des möglichen Vorfalls.
Machen Sie jedoch keinen Fehler: Dies ist für jeden Kunden, der auf Basis des SAP Cloud Application Programming Model (CAP) entwickelt, äußerst wichtig. Wenn dies auf Sie zutrifft, verdient dieser Hinweis unabhängig vom Score sofortige Beachtung.
Stay patched, stay secure, stay smart.
Sind Sie von der monatlichen Flut an Hinweisen überfordert?
Die manuelle Auswertung dieser Hinweise kostet Zeit, die Sie vielleicht nicht haben. Wenn Sie sichergehen möchten, dass Ihnen kein wichtiger Patch entgeht, lassen Sie sich von uns helfen.
Wir bieten daher unseren SAP Security Notes Service an, um Ihren Patch-Prozess zu optimieren und Ihre Systeme resilienter zu machen.