#Netzwerk & Sicherheit · 2 Min. Lesezeit · Tim Rinkel

SAP-ALARM! Fuenf Funktionsmodule sprengen JETZT DEINEN ERP-Server — CVSS 8.2 zwingt SAP-Admins zum Mai-Patch

SAP-ALARM! Fuenf Funktionsmodule sprengen JETZT DEINEN ERP-Server — CVSS 8.2 zwingt SAP-Admins zum Mai-Patch

SAP hat am 12. Mai 2026 Patch Day gefahren — und ein High-Priority-Note in Zusammenarbeit mit Onapsis Research Labs rausgeschoben, das es in sich hat. Fuenf Funktionsmodule in SAP Forecasting & Replenishment erlauben einem authentifizierten Angreifer mit administrativen Rechten, beliebige OS-Befehle auf dem ERP-Server auszufuehren. CVSS-Score: 8.2.

WORUM ES GEHT: OS-Command-Injection in fuenf Modulen

Die fuenf betroffenen Funktionsmodule in SAP Forecasting & Replenishment (F&R) behandeln Eingaben unsauber. Ein Admin-User kann ueber das Forecasting-Frontend Befehle einschleusen, die direkt auf dem darunter liegenden Betriebssystem ausgefuehrt werden. Damit ist der Server gekippt, ERP-Datenbanken kompromittiert, Side-Bewegung im Netzwerk moeglich.

SCHWERE: 8.2 ist High Priority, aber nicht Hot News

Mit CVSS 8.2 landet die Luecke knapp unter der Hot-News-Schwelle (9.0+). Trotzdem hat SAP sie als High Priority Note ausgewiesen — was bei SAP intern bedeutet: Patch in den naechsten zwei Wochen, nicht erst zum Quartalsende.

BREITER MAI-PATCH-DAY: 17 Notes, 3 HotNews

Insgesamt hat SAP 17 neue und aktualisierte Security Notes veroeffentlicht — darunter drei HotNews-Notes (CVSS 9.0+) und eine High-Priority-Note. Plus eine Reflected Cross-Site-Scripting-Luecke (CVSS 4.7) im SAP NetWeaver Application Server ABAP fuer BSP-Anwendungen.

SCHON VORHER: Supply-Chain-Attacke auf SAP CAP

Wichtig fuer Devs: SAP hatte am 30. April 2026 bereits HotNews Note #3747787 nachgeschoben. Hintergrund: eine Supply-Chain-Attacke auf SAP-Entwickler und Organisationen, die das Cloud Application Programming (CAP) Model nutzen. Wer dort entwickelt, sollte das Note SOFORT angeschaut haben.

FAZIT: SAP-Admins haben KEIN Wartungsfenster mehr

Die F&R-Luecke trifft Retail- und Logistik-Konzerne hart. Wer Forecasting im Einsatz hat, sollte den Patch noch in dieser Woche einspielen — Onapsis hat oeffentlich bestaetigt, dass die technischen Details nachvollziehbar sind. Damit ist eine Exploit-Welle innerhalb von 30 Tagen wahrscheinlich.

Häufige Fragen

Welche SAP-Module sind betroffen?
Fuenf Funktionsmodule in SAP Forecasting & Replenishment (F&R). Andere SAP-Module sind von dieser konkreten Luecke nicht betroffen, der Mai-Patch-Day enthaelt aber 16 weitere Notes — pruefe deinen kompletten SAP-Stack im SAP Support Portal.
Brauche ich Admin-Rechte, um die Luecke auszunutzen?
Ja. Die Luecke setzt einen authentifizierten User mit administrativen Berechtigungen voraus. Damit ist sie kein Zero-Click-Angriff, aber Insider-Bedrohungen oder geleakte Admin-Credentials reichen, um den ERP-Server zu kapern.
Was sind HotNews Notes bei SAP?
HotNews ist SAPs hoechste Stufe fuer Security Patches — typischerweise CVSS 9.0+. Sie haben hoechste Prioritaet und werden auch ausserhalb regulaerer Patch-Days released. Im Mai 2026 gibt es drei HotNews und eine High-Priority-Note (die Forecasting-Luecke).

Quellen: onapsis.com · support.sap.com · securitybridge.com

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert