SAP Patch Day February 2026

• Februar-Zusammenfassung – Es wurden insgesamt 29 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews und sieben High Priority-Hinweise.
• Kritische Code-Injection – Die Ausnutzung kann zu einer vollständigen Kompromittierung des Systems durch Nutzer mit eingeschränkten Berechtigungen führen.
• Beitrag der Onapsis Research Labs – Das Onapsis-Team unterstützte SAP bei der Behebung von acht Schwachstellen, die von sieben SAP Security Notes abgedeckt werden.

Die HotNews Notes im Detail

Die Onapsis Research Labs (ORL) unterstützten SAP bei der Behebung einer kritischen Code-Injection-Sicherheitslücke in SAP CRM und SAP S/4HANA, die mit dem höchsten CVSS-Score im Februar bewertet ist.

Die SAP-Sicherheitsmitteilung #3697099 mit einem CVSS-Score von 9.9 behebt diese Schwachstelle im Skript-Editor der Anwendung. Über diese Schwachstelle kann ein authentifizierter Angreifer kritische Funktionen ohne Berechtigung ausführen, darunter auch beliebige SQL-Anweisungen. Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung der Datenbank führen, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich beeinträchtigt werden. SAP hat mit dem Patch zusätzliche Allowlist-Prüfungen für den betroffenen generischen Funktionsmodulaufruf hinzugefügt. Als vorübergehende Abhilfe kann der betroffene ICF-Dienst deaktiviert werden.

Die Sicherheitsmeldung #3674774, die mit einem CVSS-Score von 9.6 bewertet ist, behebt eine Sicherheitslücke aufgrund fehlender Autorisierungsprüfung in SAP NetWeaver Application Server ABAP und ABAP Platform. Unter bestimmten Umständen kann ein authentifizierter Benutzer mit geringen Berechtigungen Remote Function Calls im Hintergrund ausführen, ohne über die erforderliche S_RFC-Autorisierung zu verfügen. Um die Sicherheitslücke zu schließen, müssen Kunden ein Kernel-Update durchführen und einen Profilparameter festlegen. Möglicherweise sind Anpassungen der Benutzerrollen und UCON-Einstellungen erforderlich, um Geschäftsprozesse aufrechtzuerhalten.

Die dritte HotNews #3697979 (CVSS-Score: 9.1) wurde mit dem Hinweis versehen, dass die Sicherheitslücke extern gemeldet wurde. Die Security Note wurde ursprünglich am SAP Patch Day im Januar veröffentlicht und betrifft dieselbe Code-Injection-Sicherheitslücke in SAP Landscape Transformation, die auch für SAP S/4HANA (Private Cloud und On-Premise) mit #3694242 behoben wurde. Der angreifbare RFC-Funktionsbaustein wurde SAP im Dezember 2025 von den Onapsis Research Labs gemeldet.

Die High Priority Notes im Detail

Die SAP Security Note #3697567 mit einem CVSS-Score von 8.8 behebt eine Schwachstelle im Zusammenhang mit dem XML Signature Wrapping in SAP NetWeaver AS ABAP und ABAP Platform. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit Standardrechten, eine validierte signierte Nachricht zu erhalten und modifizierte signierte XML-Dokumente an das Verifizierungssystem zu senden. Dies kann dazu führen, dass manipulierte Identitätsinformationen akzeptiert werden, unbefugter Zugriff auf sensible Benutzerdaten erfolgt und die Nutzung des Systems gestört wird. Ein Workaround ist verfügbar, deckt jedoch nicht alle Anwendungsszenarien für signierte XML-Dokumente ab.

Der Hinweis #3705882 (CVSS-Score: 7.7) adressiert eine Schwachstelle im RFC-Modul in SAP Solution Tools Plug-In (ST-PI), durch die sensible Informationen an unberechtigte Benutzer offengelegt werden, die für weitere Systemangriffe genutzt werden könnten. Mit der Implementierung des Patches sind diese Informationen nicht länger gefährdet.

Die Onapsis Research Labs (ORL) unterstützten SAP bei der Behebung von zwei der sieben High Priority Notes.

Der SAP-Sicherheitshinweis #3703092 hat einen CVSS-Score von 7.7 und behebt eine Denial-of-Service-Sicherheitslücke in SAP Supply Chain Management. Das Team von Onapsis hat einen remote aktivierbaren Funktionsbaustein entdeckt, der es einem authentifizierten Angreifer mit Standardbenutzerrechten und Netzwerkzugriff ermöglicht, die Anzahl der Loop-Ausführungen zu kontrollieren. Durch wiederholtes Aufrufen dieses Moduls werden übermäßige Systemressourcen verbraucht, was zum Ausfall des Systems führen kann.

Eine weitere Denial-of-Service-Sicherheitslücke wurde von ORL-Team in SAP BusinessObjects BI Platform entdeckt. Durch das Senden gezielt gestalteter Anfragen können nicht authentifizierte Angreifer den Content Management Server (CMS) zum Absturz bringen und automatisch neu starten. Durch wiederholtes Senden dieser Anfragen kann der Angreifer eine anhaltende Unterbrechung des Dienstes verursachen, wodurch das CMS insgesamt nicht mehr verfügbar ist. Die Schwachstelle wurde mit einem CVSS-Score von 7.5 bewertet und mit dem Hinweis #3678282 gepatcht. Als vorübergehende Abhilfe kann CORBA SSL implementiert werden.

Die SAP-Sicherheitsmitteilung #3654236 (CVSS-Score: 7.5) befasst sich mit einer weiteren Denial-of-Service-Sicherheitslücke in SAP BusinessObjects BI Platform. Diese ermöglicht es einem nicht authentifizierten Angreifer, eine gezielte Netzwerkanfrage an den verifizierten Endpunkt zu senden. Dadurch wird die Authentifizierung umgangen, sodass berechtigte Benutzer keinen Zugriff mehr auf die Plattform haben. Mit dem Patch können Kunden den sicheren Endpunkt der Webanwendung mit Mutual TLS (mTLS) so konfigurieren, dass nur Anfragen von sicheren Backend-Servern akzeptiert werden. Als temporäre Lösung kann die Landschaft in verschiedene Netzwerksegmente unterteilt werden.

Der Sicherheitshinweis #3692405 mit einem CVSS-Score von 7.4 enthält einen Patch für SAP Commerce Cloud, der eine Version der Eclipse Jersey-Bibliothek enthält, die nicht mehr über die unter CVE-2025-12383 aufgeführte Race Condition angreifbar ist. Ohne diesen Patch könnte ein authentifizierter Benutzer die SSL-Vertrauensüberprüfung für Outbound-Verbindungen umgehen, was weitreichende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.

Hinweis #3674246, bewertet mit einem CVSS-Score von 7.3, behebt eine Open-Redirect-Sicherheitslücke in SAP BusinessObjects Business Intelligence Platform. Die Sicherheitslücke ermöglicht es authentifizierten Angreifern, Opfer auf eine vom Angreifer kontrollierte Domain umzuleiten und anschließend schädliche Inhalte herunterzuladen. Der Patch führt eine serverseitige Whitelist ein, um nicht validierte Weiterleitungen zu URLs von Drittanbietern zu verhindern.

Der Beitrag von Onapsis

Zusätzlich zur HotNews und den High Priority Notes unterstützte das Team der Onapsis Research Labs SAP bei der Behebung von fünf weiteren Schwachstellen, die in vier SAP-Sicherheitsmitteilungen behandelt wurden.

Das ORL-Team identifizierte eine Open-Redirect-Schwachstelle in der TAF_APPLAUNCHER Business Server Pages-Anwendung, die ausgenutzt werden könnte, um Benutzer auf von Angreifern kontrollierte Websites umzuleiten und so möglicherweise sensible Informationen im Browser des Opfers offenzulegen oder zu verändern. Die SAP Security Note #3688319 mit einem CVSS-Score von 6.1 patcht diese Schwachstelle, indem sie eine Sicherheitswarnung an Benutzer ausgibt, bevor eine Umleitung zu einer externen URL erfolgt. Wenn keine komponentenbasierte Testautomatisierung verwendet wird, kann die betroffene TAF_APPLAUNCHER-Anwendung deaktiviert werden.

SAP Security Note #3678417 behebt eine Open-Redirect-Sicherheitslücke und eine Cross-Site-Scripting-Sicherheitslücke in BSP-Anwendungen des SAP Document Management Systems, die beide mit einem CVSS-Score von 6.1 bewertet wurden. Der CVSS-Vektor der beiden Sicherheitslücken ist identisch und zeigt eine geringe Beeinträchtigung der Vertraulichkeit und Integrität der Anwendung. Der Patch deaktiviert die anfälligen Funktionen und URL-Parameter in den betroffenen BSP-Anwendungsseiten.

Das Team der Onapsis Research Labs hat eine Sicherheitslücke hinsichtlich der Offenlegung von Informationen in SAP Commerce Cloud entdeckt. Die Anwendung macht einige API-Endpunkte für nicht authentifizierte Benutzer zugänglich. Bei der Übermittlung geben diese Endpunkte sensible Informationen zurück, die nicht für die öffentliche Zugänglichkeit über das Frontend vorgesehen sind. Die Sicherheitslücke wurde mit einem CVSS-Score von 5.3 bewertet und mit dem Hinweis #3687771 gepatcht.

Die SAP Security Note #3680390 mit einem CVSS-Score von 4.3 behebt eine Sicherheitslücke aufgrund fehlender Autorisierungsprüfung in SAP Strategic Enterprise Management. Die Sicherheitslücke hat geringe Auswirkungen auf die Vertraulichkeit, da authentifizierte Angreifer auf Informationen zugreifen können, für deren Anzeige sie ansonsten nicht befugt sind.

Zusammenfassung und Fazit

Mit 29 Sicherheitshinweisen, darunter drei HotNews und sieben High Priority Notes, ist der Patch Day von SAP im Februar äußerst ereignisreich. Die Onapsis Research Labs konnten zu diesem Patch Day beitragen, indem sie SAP bei der Behebung von acht Sicherheitslücken unterstützt haben, darunter eine mit dem Status „HotNews” und zwei mit dem Status „High Priority”.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen im Produkt zu berücksichtigen, damit Unternehmen sich optimal schützen können.

HotNews Notes in Detail
The Onapsis Research Labs (ORL) assisted SAP in fixing a critical code injection security vulnerability in SAP CRM and SAP S/4HANA, which was rated with the highest CVSS score in February.
The SAP security advisory #3697099 with a CVSS score of 9.9 addresses this vulnerability in the application’s script editor. Thru this vulnerability, an authenticated attacker can execute critical functions without authorization, including arbitrary SQL statements. A successful attack can lead to the complete compromise of the database, significantly affecting the confidentiality, integrity, and availability of the application. SAP has added additional allowlist checks for the affected generic function module call with the patch. As a temporary workaround, the affected ICF service can be deactivated.
The security advisory #3674774, rated with a CVSS score of 9.6, addresses a security vulnerability due to a lack of authorization check in SAP NetWeaver Application Server ABAP and ABAP Platform. Under certain circumstances, an authenticated user with low-level permissions can execute remote function calls in the background without having the required S_RFC authorization. To close the security gap, customers need to perform a kernel update and set a profile parameter. Adjustments to user roles and UCON settings may be necessary to maintain business processes.
The third HotNews #3697979 (CVSS score: 9.1) has been marked with the note that the security vulnerability was reported externally. The Security Note was originally released on SAP Patch Day in January and concerns the same code injection security vulnerability in SAP Landscape Transformation, which was also fixed for SAP S/4HANA (Private Cloud and On-Premise) with #3694242. The vulnerable RFC function module was reported to SAP in December 2025 by the Onapsis Research Labs.

High Priority Notes in detail

The SAP Security Note #3697567 with a CVSS score of 8.8 addresses a vulnerability related to XML Signature Wrapping in SAP NetWeaver AS ABAP and ABAP Platform. The vulnerability allows an authenticated attacker with standard rights to receive a validated signed message and send modified signed XML documents to the verification system. This can lead to manipulated identity information being accepted, unauthorized access to sensitive user data, and disruption of system usage. A workaround is available, but it does not cover all application scenarios for signed XML documents.
Note #3705882 (CVSS score: 7.7) addresses a vulnerability in the RFC module in SAP Solution Tools Plug-In (ST-PI), which could expose sensitive information to unauthorized users that could be used for further system attacks. With the implementation of the patch, this information is no longer at risk.
The Onapsis Research Labs (ORL) assisted SAP in addressing two of the seven High Priority Notes.
The SAP Security Note #3703092 has a CVSS score of 7.7 and addresses a denial-of-service security vulnerability in SAP Supply Chain Management. The Onapsis team has discovered a remotely activatable function module that allows an authenticated attacker with standard user rights and network access to control the number of loop executions. By repeatedly invoking this module, excessive system resources are consumed, which can lead to system failure.
Another denial-of-service security vulnerability was discovered by the ORL team in SAP BusinessObjects BI Platform. By sending specially crafted requests, unauthenticated attackers can crash the Content Management Server (CMS) and automatically restart it. By repeatedly sending these requests, the attacker can cause a persistent service interruption, rendering the CMS completely unavailable. The vulnerability was rated with a CVSS score of 7.5 and patched with advisory #3678282. As a temporary workaround, CORBA SSL can be implemented.
The SAP Security Advisory #3654236 (CVSS Score: 7.5) addresses another denial-of-service security vulnerability in SAP BusinessObjects BI Platform. This allows an unauthenticated attacker to send a targeted network request to the verified endpoint. This bypasses authentication, preventing authorized users from accessing the platform. With the patch, customers can configure the secure endpoint of the web application with Mutual TLS (mTLS) to accept requests only from secure backend servers. As a temporary solution, the landscape can be divided into different network segments.
Security advisory #3692405 with a CVSS score of 7.4 includes a patch for SAP Commerce Cloud that contains a version of the Eclipse Jersey library that is no longer vulnerable to the race condition listed under CVE-2025-12383. Without this patch, an authenticated user could bypass the SSL trust verification for outbound connections, which would have far-reaching implications for the confidentiality and integrity of the application.
Note #3674246, rated with a CVSS score of 7.3, fixes an open redirect security vulnerability in SAP BusinessObjects Business Intelligence Platform. The vulnerability allows authenticated attackers to redirect victims to a domain controlled by the attacker and subsequently download malicious content. The patch introduces a server-side whitelist to prevent unvalidated redirects to third-party URLs.

Onapsis‘ Contribution

In addition to the HotNews and the High Priority Notes, the Onapsis Research Labs team assisted SAP in addressing five additional vulnerabilities, which were covered in four SAP security advisories.
The ORL team identified an open redirect vulnerability in the TAF_APPLAUNCHER Business Server Pages application, which could be exploited to redirect users to attacker-controlled websites, potentially disclosing or altering sensitive information in the victim’s browser. SAP Security Note #3688319 with a CVSS score of 6.1 patches this vulnerability by issuing a security warning to users before redirecting to an external URL. If component-based test automation is not used, the affected TAF_APPLAUNCHER application can be disabled.
SAP Security Note #3678417 addresses an Open Redirect security vulnerability and a Cross-Site Scripting security vulnerability in BSP applications of the SAP Document Management System, both of which have been rated with a CVSS score of 6.1. The CVSS vector of the two security vulnerabilities is identical and indicates a low impact on the confidentiality and integrity of the application. The patch disables the vulnerable functions and URL parameters in the affected BSP application pages.

The Onapsis Research Labs team has discovered a security vulnerability regarding information disclosure in SAP Commerce Cloud. The application makes some API endpoints accessible to unauthenticated users. When submitted, these endpoints return sensitive information that is not intended for public access via the frontend. The security vulnerability was rated with a CVSS score of 5.3 and patched with note #3687771.
The SAP Security Note #3680390 with a CVSS score of 4.3 addresses a security vulnerability due to a lack of authorization check in SAP Strategic Enterprise Management. The security vulnerability has a low impact on confidentiality, as authenticated attackers can access information that they are otherwise not authorized to view.

Summary and Conclusion

With 29 security notes, including three HotNews and seven High Priority Notes, SAP’s February Patch Day is extremely eventful. The Onapsis Research Labs were able to contribute to this Patch Day by assisting SAP in fixing eight security vulnerabilities, including one with the status „HotNews“ and two with the status „High Priority.“
As always, the Onapsis Research Labs are already updating the Onapsis platform to account for the newly released vulnerabilities in the product, so that companies can optimally protect themselves.