SAP hat zum Juni-Patchday am Dienstagmorgen 15 neue Sicherheitsnotizen veröffentlicht. Sie behandeln teils kritische Sicherheitslücken in der Software, gleich drei davon betreffen SAP NetWeaver.
In der Übersicht zum SAP-Patchday sticht eine Schwachstelle in NetWeaver Application Server ABAP und ABAP Platform hervor, die authentifizierten Angreifern mit normalen Rechten ermöglicht, signierte Nachrichten zu erhalten und veränderte signierte XML-Dokumente an der „Verifier“ zu senden. Das kann dazu führen, dass die verfälschten Identitätsinformationen akzeptiert werden und Angreifer unbefugten Zugriff auf sensible Nutzerdaten erhalten sowie die normale Systemnutzung stören (CVE-2026-44748, CVSS 9.9, Risiko „kritisch“).
Angreifer können zudem eine unzureichende RFC-Protokoll-Prüfung im SAP-Kernel vom NetWeaver Application Server ABAP und der ABAP Platform missbrauchen, um mit manipulierten Paketen ohne vorherige Authentifizierung Logikfehler in der Speicherverwaltung auslösen. SAP spricht von Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit der Applikation. Aufgrund des Schweregrads scheint es sich nicht nur um eine DoS-Lücke zu handeln, sondern das Einschleusen von Schadcode zu ermöglichen (CVE-2026-27671, CVSS 9.8, Risiko „kritisch“).
