{"id":7360,"date":"2026-04-16T11:34:36","date_gmt":"2026-04-16T09:34:36","guid":{"rendered":"https:\/\/smartersec.com\/?p=7360"},"modified":"2026-04-16T11:40:58","modified_gmt":"2026-04-16T09:40:58","slug":"sap-security-patchday-04-2026-warum-namen-und-cvss-scores-irrefuehrend-sein-koennen","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patchday-04-2026-warum-namen-und-cvss-scores-irrefuehrend-sein-koennen\/","title":{"rendered":"SAP Security Patchday 04\/2026: Warum Namen und CVSS-Scores irref\u00fchrend sein k\u00f6nnen"},"content":{"rendered":"\n

Der SAP Security Patchday im April 2026 steht vor der T\u00fcr, und obwohl der Umfang \u00fcberschaubar erscheint (insgesamt 22 Sicherheitshinweise), war der Spruch \u201eDer Teufel steckt im Detail\u201c selten treffender. Hier finden Sie unsere \u00dcbersicht dar\u00fcber, was Sie priorisieren sollten und warum Sie sich nicht allein auf einen CVSS-Score verlassen sollten. Eine gute Erinnerung daran, dass es beim Risiko nicht nur um den Score geht, sondern auch um den Kontext.<\/p>\n\n\n\n

Wir empfehlen Ihnen, sich auch unser Webinar<\/a> von Sebastian Sch\u00f6nh\u00f6fer anzusehen, der gezeigt hat, wie eine scheinbar moderate CVSS Schwachstelle mit einem Score von 5,5 dennoch erhebliche Auswirkungen auf SAP-Systeme haben kann.<\/p>\n\n\n\n

<\/div>\n\n\n

Die Zahlen auf einen Blick<\/strong><\/h2>\n\n\n\n

20 neue Sicherheitshinweise<\/strong> + 2 Aktualisierungen bestehender Hinweise.<\/p>\n\n\n\n

In diesem Monat liegt ein starker Fokus auf SAP NetWeaver AS ABAP<\/strong>. Hinzu kommen 3 Hinweise f\u00fcr BusinessObjects <\/strong>und 1 f\u00fcr AS Java<\/strong>.<\/p>\n\n\n\n

Es ist eine deutliche Verschiebung der Angriffsvektoren zu beobachten. W\u00e4hrend in den vergangenen Monaten RFC-basierte Korrekturen\/Patches dominierten, sehen wir nun einen Anstieg an Schwachstellen bei OData-Services, ICF-Nodes und RAP-basierten CDS-View-Implementierungen<\/strong>.<\/p>\n\n\n\n

<\/div>\n\n\n

Das \u201edringende\u201c Highlight: CVSS 9.9 (CVE-2026-27681)<\/strong><\/h2>\n\n\n\n

Die wichtigste Meldung des Monats betrifft eine kritische SQL-Injection-Sicherheitsl\u00fccke<\/strong> in SAP Business Planning and Consolidation (BPC) und SAP Business Warehouse (BW).<\/p>\n\n\n\n

ABER<\/strong>: Lassen Sie sich nicht t\u00e4uschen. Auch wenn der Name die Komponente \u201eBusiness Warehouse\u201c enth\u00e4lt, ist diese Meldung auch f\u00fcr SAP-ECC- und SAP-S\/4HANA-Systeme (sowohl on-Prem als auch in ECS) von gro\u00dfer Bedeutung<\/strong>.<\/p>\n\n\n\n

Diese Schwachstelle erm\u00f6glicht vollst\u00e4ndigen Datenbankzugriff (Lesen\/Schreiben). Wenn Sie S\/4HANA oder ECC einsetzen, sollten Sie dies nicht ignorieren, nur weil Sie \u201ekein eigenst\u00e4ndiges BW betreiben\u201c.<\/p>\n\n\n\n

\u00dcberpr\u00fcfen Sie Ihren Patch-Stand und implementieren Sie diesen Patch UNVERZ\u00dcGLICH<\/strong>.<\/p>\n\n\n\n

<\/div>\n\n\n

Warum es wichtig ist, \u201ebis zum Ende zu lesen\u201c (Die CVSS-2.0-Falle)<\/strong><\/h2>\n\n\n\n

Wir beobachten oft, dass Teams nach dem CVSS-Score sortieren und bei der Einstufung \u201eLow\u201c aufh\u00f6ren. Dieser Monat zeigt, warum das eine gef\u00e4hrliche Strategie ist.<\/p>\n\n\n\n

Werfen wir einen Blick auf Hinweis 3723097 [CVE-2026-27675]<\/strong>: Eine Code-Injection in SAP Landscape Transformation (SLT).<\/p>\n\n\n\n

Was wir hier sehen, ist eine ABAP Command Injection, versteckt in einem RFC-f\u00e4higen Funktionsbaustein, der es einem Angreifer erm\u00f6glicht, Includes zu \u00fcberschreiben.<\/p>\n\n\n\n

Sie wird mit einem CVSS 2.0<\/strong> bewertet, vor allem weil der Namensraum begrenzt ist und eine grundlegende Berechtigungspr\u00fcfung vorhanden ist.<\/p>\n\n\n\n

In der Realit\u00e4t ist dies in den H\u00e4nden eines cleveren Angreifers dennoch ein m\u00e4chtiges Werkzeug f\u00fcr laterale Bewegung (Weiterverbreitung im System).<\/p>\n\n\n\n

Eine Umsetzung ist erforderlich!<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n

Unser Fazit<\/strong><\/h2>\n\n\n\n

Sicherheit ist keine \u201eTop-down\u201c-Liste, sondern eine ganzheitliche Betrachtung. Ob es sich nun um einen OData-Service in einem neuen RAP-Modell oder um eine falsch gekennzeichnete BW-Komponente in Ihrem S\/4-Kern handelt \u2013 der Kontext Ihrer spezifischen Landschaft ist entscheidend.<\/p>\n\n\n\n

Sind Sie \u00fcberfordert von der monatlichen Flut an Notizen? <\/strong>
Die manuelle Analyse dieser Notizen kostet Zeit, die Sie vielleicht nicht haben. Wenn Sie sicherstellen m\u00f6chten, dass Sie niemals einen kritischen Fix verpassen, wie den, der diesen Monat in SLT versteckt war, lassen Sie uns Ihnen helfen.<\/p>\n\n\n\n

Wir bieten daher unseren SAP Security Notes Service<\/a><\/strong> an, um Ihren Patch-Prozess zu optimieren und Ihre Systeme resilienter zu machen.<\/p>\n\n\n\n

\n
\n
\n \n \n \n
\n \r\n\r\n\r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t<\/g>\r\n\t<\/g>\r\n\t\r\n\t\t\r\n\t<\/g>\r\n<\/g>\r\n<\/svg>\r\n<\/div> \n
\n \n\n

Haben Sie Fragen zum Patch Day oder zu SAP Sicherheit im Allgemeinen?<\/strong><\/p>\n\n\n\n

Bitte kontaktieren Sie uns direkt!<\/strong><\/p>\n\n <\/div>\n\n

\n \n Kontakt <\/a>\n <\/div>\n \n <\/div>\n <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Der SAP Security Patchday im April 2026 zeigt, warum CVSS-Scores allein irref\u00fchrend sein k\u00f6nnen: W\u00e4hrend eine kritische Schwachstelle mit einem CVSS-Score von 9,9 sofortiges Handeln erfordert, k\u00f6nnen auch Probleme mit niedrigerer Bewertung, wie beispielsweise eine ABAP-Injection mit einem CVSS-Score von 2.0, schwerwiegende Angriffe erm\u00f6glichen. Angesichts der zunehmenden Konzentration auf Schwachstellen in OData-, ICF- und RAP-Modellen ist es wichtiger denn je, den Kontext Ihrer SAP-Landschaft zu verstehen.<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-7360","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=7360"}],"version-history":[{"count":10,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7360\/revisions"}],"predecessor-version":[{"id":7373,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7360\/revisions\/7373"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=7360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=7360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=7360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}