SAP-Patchday Juni: vier kritische NetWeaver-Lücken

Für SAP-Admins beginnt die Woche mit Schweiß auf der Stirn: Der Juni-Patchday bringt 15 neue Sicherheitshinweise — und gleich vier davon sind HotNews mit Werten bis CVSS 9.9. Mehrere reißen Unternehmenssysteme sperrangelweit auf.

DIE SCHLIMMSTE: Signatur ausgetrickst (9.9)

Der gefährlichste Fix ist CVE-2026-44748 mit CVSS 9.9: eine XML-Signature-Wrapping-Lücke in der SAML-Authentifizierung von SAP NetWeaver AS ABAP. Ein angemeldeter Angreifer mit niedrigen Rechten kann eine gültig signierte Nachricht abgreifen, sie manipulieren und beim Prüfer durchschmuggeln. Folge: gefälschte Identitäten, Zugriff auf sensible Nutzerdaten und Rechteausweitung quer durch die Systemlandschaft.

OHNE PASSWORT: Angriff über das RFC-Protokoll (9.8)

Mindestens so brisant ist CVE-2026-27671 (CVSS 9.8) im ABAP-Kernel. Durch fehlerhafte RFC-Protokoll-Prüfung kann ein Angreifer ganz ohne Anmeldung präparierte RFC-Anfragen an verwundbare Endpunkte schicken und so eine Speicherbeschädigung auslösen. Genau solche unauthentifizierten Lücken sind das Albtraum-Szenario für jeden, der SAP-Systeme erreichbar betreibt.

UND ES GEHT WEITER: Traversal und Spring Security

Dazu kommen CVE-2026-40128 (CVSS 9.0), eine Directory-Traversal-Lücke im Java-Web-Container von NetWeaver, über die sich Angreifer durch Verzeichnisstrukturen zu sensiblen Ressourcen hangeln — und CVE-2026-22732 (CVSS 9.1), die alle Anwendungen trifft, die auf das Spring-Security-Framework setzen, darunter Commerce Cloud und Data Hub. Insgesamt verteilt sich der Patchday auf vier HotNews-, zwei High-, sieben Medium- und zwei Low-Fixes.

SO HANDELST DU RICHTIG

SAP-Landschaften patcht man nicht eben mal nebenbei — aber bei CVSS 9.9 zählt jeder Tag. Spiele die SAP-Sicherheitshinweise vom Juni nach interner Freigabe so schnell wie möglich ein. Prüfe parallel, ob NetWeaver-Systeme aus dem Internet erreichbar sind — die unauthentifizierte RFC-Lücke macht offene Endpunkte zur tickenden Bombe. EXTRA-TIPP: Logge RFC-Zugriffe und SAML-Anmeldungen mit, um nachträglich Angriffsversuche zu erkennen.

FAZIT: Vier kritische Lücken an einem Tag sind selbst für SAP außergewöhnlich. Wer NetWeaver betreibt, sollte diesen Patchday ganz oben auf die Liste setzen — besonders wegen der Lücke, die ohne jedes Passwort funktioniert.

Häufige Fragen

Welche SAP-Produkte sind betroffen?

Im Fokus stehen SAP NetWeaver AS ABAP und die ABAP-Plattform (CVE-2026-44748 und CVE-2026-27671) sowie der NetWeaver-Java-Web-Container (CVE-2026-40128). CVE-2026-22732 trifft Anwendungen mit Spring Security, darunter Commerce Cloud und Data Hub.

Welche Lücke ist am gefährlichsten?

CVE-2026-44748 trägt mit CVSS 9.9 den höchsten Wert (XML Signature Wrapping in der SAML-Authentifizierung). Praktisch besonders brisant ist aber CVE-2026-27671 (CVSS 9.8) im ABAP-Kernel, weil sie sich ohne Anmeldung über manipulierte RFC-Anfragen ausnutzen lässt.

Werden die Lücken schon angegriffen?

SAP hat die Schwachstellen im Rahmen des regulären Juni-Patchdays veröffentlicht; öffentliche Berichte über aktive Ausnutzung gibt es zum Start noch nicht. Bei Werten bis CVSS 9.9 und einer unauthentifizierten RFC-Lücke ist schnelles Handeln trotzdem Pflicht.

Was sollten Admins jetzt konkret tun?

Die SAP-Sicherheitshinweise vom Juni nach interner Freigabe zügig einspielen, erreichbare NetWeaver-Systeme aus dem Internet abschirmen und RFC- sowie SAML-Zugriffe protokollieren, um Angriffsversuche zu erkennen.

Quellen: BleepingComputer, Cyber Security News, heise online, SecurityWeek

GROSSALARM! Vier 9,9er-Lücken reißen SAP-Systeme JETZT sperrangelweit auf — Admins müssen sofort patchen