heise PlusAbo
Alert!

SAP-Patchday: Vier kritische Schwachstellen am Januar-Patchday behandelt

SAP geht am Januar-Patchday 17 SicherheitslĂĽcken an. Vier davon gelten als kritisches Sicherheitsrisiko.

vorlesen Druckansicht 1 Kommentar lesen
SAP-Logo neben "Achtung"-Schild

(Bild: heise medien)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Am Januar-Patchday 2026 hat SAP 17 neue Sicherheitsnotizen herausgegeben. Sie behandeln vier als kritisches Risiko und vier als hochriskant eingestufte SicherheitslĂĽcken in der Business-Software.

Die Patchday-Übersicht von SAP listet die einzelnen Meldungen auf. Am schwersten wiegt demnach eine SQL-Injection-Schwachstelle in SAP S/4HANA Private Cloud and On-Premise (Financials - General Ledger) (CVE-2026-0501, CVSS 9.9, Risiko „kritisch“). In SAP Wily Introscope Enterprise Manager (WorkStation) können Angreifer aus dem Netz hingegen Schadcode einschleusen (CVE-2026-0500, CVSS 9.6, Risiko „kritisch“). Außerdem können bösartige Akteure in SAP S/4HANA (Private Cloud and On-Premise) eigenen Code injizieren (CVE-2026-0498, CVSS 9.1, Risiko „kritisch“). Eine gleichlautende Schwachstelle betrifft SAP Landscape Transformation (CVE-2026-0491, CVSS 9.1, Risiko „kritisch“).

Hochriskante SAP-Schwachstellen

In der Datenbank von SAP HANA können Angreifer außerdem eine Rechteausweitungslücke missbrauchen (CVE-2026-0492, CVSS 8.8, Risiko „hoch“). In SAP Application Server for ABAP and SAP NetWeaver RFCSDK können sie Befehle ans Betriebssystem einschleusen (CVE-2026-0507, CVSS 8.4, Risiko „hoch“). In der SAP Fiori App (Intercompany Balance Reconciliation) finden sich drei Sicherheitslücken, von denen mindestens eine mit CVSS-Wert 8.1 als Risiko „hoch“ gilt (CVE-2026-0511, CVE-2026-0496, CVE-2026-0495). Schließlich meldet SAP noch eine fehlende Autorisierungsprüfung in SAP NetWeaver Application Server ABAP and ABAP Platform (CVE-2026-0506, CVSS 8.1, Risiko „hoch“).

Sieben weitere Schwachstellen haben von SAPs Entwicklern die Einordnung als mittleres Risiko erhalten. Zwei SicherheitslĂĽcken betrachten sie zudem als niedrigen Bedrohungsgrad.

Videos by heise

IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zeitnah anwenden, um die Angriffsfläche ihrer IT-Landschaft zu reduzieren. Zum vergangenen Patchday im Dezember 2025 hatte SAP 14 Sicherheitsnotizen veröffentlicht. Davon wurden drei als kritisches Sicherheitsrisiko klassifiziert.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten