Die Entwickler von SAP haben zum Patchday im Juli 16 neue Sicherheitsnotizen veröffentlicht. Davon behandeln drei als kritisches Risiko eingestufte Schwachstellen in mehreren Produkten.

In der Patchday-Übersicht listet SAP die einzelnen Meldungen säuberlich auf. Kurz vor Höchstwertung landet ein möglicher Speicherzugriffsfehler aufgrund von Logikfehlern in der Speicherverwaltung von SAP NetWeaver Application Server ABAP, durch den angemeldete Angreifer unbefugt auf Daten zugreifen und diese etwa verändern oder gar einen Denial-of-Service provozieren können (CVE-2026-44747, CVSS 9.9, Risiko „kritisch“). In SAP Approuter können hingegen bösartige Akteure HTTP-Anfragen einschleusen, durch die nicht authentifizierte Angreifer die Synchronisation von Anfragen und Antworten aus dem Tritt bringen können. Das führt zur Offenlegung von User-Antworten oder zum Lahmlegen des Systems (CVE-2026-27690, CVSS 9.1, Risiko „kritisch“). Ein voreingestelltes und öffentlich dokumentiertes Beispiel-Konto für den OAuth2-Client gefährdet zudem die Sicherheit der SAP Commerce Cloud. Angreifer können sich damit anmelden und Daten lesen und manipulieren, erklärt SAP (CVE-2026-44761, CVSS 9.1, Risiko „kritisch“).