- SAP-Patch-Day Mai 2026: 17 Security Notes — drei HotNews, eine High-Priority.
- CVE-2026-27674: Code-Injection im NetWeaver Application Server Java.
- XSS-Lücke (CVSS 4.7) in NetWeaver ABAP via unzureichend escapter URL-Parameter.
- Patch-Window für Mai 2026 läuft — Onapsis empfiehlt 30 Tage.
Was SAP JETZT freigeschaltet hat
Am 12. Mai 2026 hat SAP seinen monatlichen Patch-Day veröffentlicht — und der ist umfangreicher als die letzten. 17 Security Notes auf einmal, davon drei HotNews (höchste Priorität) und eine High-Priority. Der Großteil betrifft Enterprise-Stacks, aber wer ERP self-hostet oder via On-Prem-NetWeaver-Anbindung integriert, sollte JETZT durchgehen.
NetWeaver Java Code-Injection
Die wohl ernsteste Lücke: CVE-2026-27674 — Code Injection in NetWeaver Application Server Java. Ein authentifizierter User kann über einen ungesicherten Input-Pfad Java-Code in den Server schleusen und ausführen. Das funktioniert auf den meisten NetWeaver-Java-Stack-Profilen, solange der Patch noch nicht drauf ist. SAP hat den Patch in den entsprechenden Support-Packages für 7.50 und 7.52 ausgerollt.
NetWeaver ABAP XSS
Außerdem: Note #3728690 mit CVSS 4.7 — eine Reflected XSS im NetWeaver Application Server ABAP. Ein URL-Parameter wird nicht korrekt escapt, ein unauthentifizierter Angreifer kann ein Script-Payload in die URL einbauen. Klingt harmlos, ist es aber nicht — wenn Admins über Phishing-Links angegriffen werden, kann das Session-Hijacking auslösen.
Die drei HotNews
SAP nennt drei Notes als HotNews — die genauen CVEs sind nicht alle öffentlich. Klar ist: HotNews bedeutet höchste Patch-Priorität, üblicherweise CVSS 9 oder höher. Wer einen SAP-NetWeaver-Server betreibt, sollte den SAP-Support-Portal-Eintrag „Security Notes May 2026“ durchgehen und alle drei in den nächsten 7 Tagen einspielen.
Wer das relevant findet
SAP-Stacks sind Enterprise, klar — aber viele KMU haben einen On-Prem-NetWeaver oder eine Schnittstelle in den eigenen Self-Hosted-Stack. Wer auch nur ein NetWeaver Java auf einem internen Server fährt, ist betroffen. Onapsis empfiehlt ein 30-Tage-Fenster für alle 17 Patches — HotNews jedoch innerhalb von 7 Tagen.
FAQ
Bin ich betroffen, wenn ich nur SAP Cloud nutze?
Nein, die HotNews betreffen On-Prem-NetWeaver-Server. Cloud-Tenants werden von SAP transparent gepatcht.
Welches Support-Package muss ich für CVE-2026-27674 einspielen?
SAP hat den Patch für NetWeaver Application Server Java 7.50 und 7.52 ausgerollt. Genaue Note-Nummer steht im SAP-Support-Portal unter Mai 2026.
Sind die drei HotNews öffentlich dokumentiert?
Die meisten Details bleiben hinter dem SAP-Support-Portal-Login. Public-Daten gibt es nur über CVE-Datenbanken und SAP-Onapsis-Blogs.
Wie schnell muss ich patchen?
Onapsis empfiehlt: HotNews innerhalb von 7 Tagen, alle anderen Notes im Lauf von 30 Tagen. CISA-äquivalente Privatwirtschaft kennt kein explizites Deadline-Fenster.