Das SAP-Sicherheitsupdate vom Juni 2026 umfasst 20 neue und aktualisierte Patches, darunter sechs HotNews- und drei High-Priority-Hinweise. Zwei kritische Schwachstellen in SAP NetWeaver AS ABAP — eine SAML-Authentifizierungslücke und ein Memory-Corruption-Fehler — erreichen CVSS-Scores von 9,9 bzw. 9,8.
SAP hat das Sicherheitsupdate für Juni 2026 veröffentlicht. Das Paket umfasst 20 neue und aktualisierte Patches für ein breites Spektrum an Schwachstellen in NetWeaver, Commerce Cloud, S/4HANA und verwandten Komponenten. Sechs Hinweise sind als HotNews eingestuft — der höchsten SAP-Schwereeinstufung — und drei tragen den Status High Priority. Vier der HotNews-Hinweise sind im aktuellen Zyklus neu; zwei stellen Aktualisierungen von Hinweisen dar, die erstmals im Mai veröffentlicht wurden. Die Onapsis Research Labs (ORL) haben zur Behebung von sechs der sechzehn neuen Hinweise beigetragen, darunter zwei HotNews- und ein High-Priority-Hinweis.
Vier bisher unbekannte HotNews-Schwachstellen wurden neben zwei Aktualisierungen bekanntgegeben, was Administratoren einen erheblichen Sanierungsaufwand beschert. Die drei High-Priority-Hinweise umfassen sowohl neue Funde als auch eine Überarbeitung eines Mai-Hinweises. In ihrer Gesamtheit decken die Patches Authentifizierungslücken, Speicherverwaltungsfehler, Integrität von Abhängigkeitsketten, Webanwendungssicherheit und Rechteausweitung ab.
HotNews-Hinweis Nr. 3746332 — SAML XML Signature Wrapping (CVSS 9,9)
SAP Security Note #3746332, erarbeitet in Zusammenarbeit mit den Onapsis Research Labs, behebt eine kritische XML-Signature-Wrapping-Schwachstelle in der SAML-Authentifizierungsschicht von SAP NetWeaver AS ABAP und der ABAP Platform. Der Fehler erlaubt es einem authentifizierten Angreifer mit normalen Benutzerrechten, eine gültig signierte SAML-Nachricht abzufangen und ein manipuliertes XML-Dokument mit veränderten Identitätsdaten zu erstellen. Da die Anwendung die XML-Signatur nicht korrekt prüft, werden die gefälschten Identitätsdaten akzeptiert, wodurch der Angreifer unbefugten Zugriff auf sensible Benutzerdaten erhält und den normalen Systembetrieb stören kann. Die Auswirkungen erstrecken sich auf alle drei Dimensionen: Vertraulichkeit, Integrität und Verfügbarkeit. SAPs Hinweis stellt fest, dass die einzige Übergangslösung darin besteht, die SAML-Authentifizierung vollständig zu deaktivieren — eine erhebliche betriebliche Einschränkung für Unternehmen, die auf föderiertes Identitätsmanagement setzen.
HotNews-Hinweis Nr. 3717897 — Memory Corruption über RFC (CVSS 9,8)
Security Note #3717897, ebenfalls unter Mitwirkung der ORL, behebt eine Memory-Corruption-Schwachstelle im Kernel des SAP NetWeaver Application Server ABAP. Der Kernel validiert das RFC-Protokoll (Remote Function Call) nicht ordnungsgemäß, sodass ein nicht authentifizierter Angreifer eine präparierte RFC-Anfrage senden kann, die logische Fehler im Speichermanagement ausnutzt. Bei erfolgreicher Ausnutzung entsteht Speicherbeschädigung, was potenziell zur Ausführung beliebigen Codes oder zur Dienstunterbrechung führen kann. Der nicht authentifizierte Angriffsvektor und das Fehlen jeglicher Benutzerinteraktion heben den CVSS-Score auf 9,8 und machen diese Schwachstelle zu einer der operativ gefährlichsten im aktuellen Zyklus.
HotNews-Hinweis Nr. 3748262 — Spring Security Header-Ausfall (CVSS 9,1)
Hinweis Nr. 3748262 adressiert eine Schwachstelle in Spring Security, das von SAP Commerce Cloud und SAP Data Hub eingesetzt wird. Beide Produkte liefern eine Version der Bibliothek aus, die für CVE-2026-22732 anfällig sein kann. Unter bestimmten Bedingungen schreibt Spring Security möglicherweise keine HTTP-Response-Header, einschliesslich sicherheitsrelevanter Header. SAP Commerce Cloud verfügt über einen mehrschichtigen Mechanismus zur Setzung solcher Header; dieser bietet jedoch keinen Fallback für Header, die ausschliesslich von Spring verwaltet werden. Das Ergebnis ist eine merkliche Schwächung des clientseitigen Schutzes mit erheblichen Auswirkungen auf Vertraulichkeit und Integrität, während die Verfügbarkeit unverändert bleibt.
HotNews-Hinweis Nr. 3727078 — Directory Traversal im NetWeaver Java Web Container (CVSS 9,0)
Das ORL-Team identifizierte eine Directory-Traversal-Schwachstelle im SAP NetWeaver Application Server Java Web Container, die durch Hinweis Nr. 3727078 geschlossen wird. Ein nicht authentifizierter Angreifer kann eine bösartige HTTP-Anmeldeanfrage erstellen, die Parameter zur Dateieinbindung manipuliert und so Path-Traversal sowie die Verarbeitung der Zieldatei ermöglicht. Der Angriff kann sensible Informationen offenlegen oder verändern und Teile des lokalen Systems unbrauchbar machen. Die Kombination aus netzwerkseitigem Zugriff ohne Authentifizierung und dem Schadensumfang stuft diesen Fund klar in die kritische Kategorie ein.
Aktualisierte HotNews-Hinweise
Zwei seit dem Mai-Zyklus aktualisierte HotNews-Hinweise verdienen besondere Beachtung. Hinweis Nr. 3747787 behandelt die manipulierten Open-Source-Pakete im SAP Cloud Application Programming Model und im MTA Build Tool, die am 29. April 2026 vorübergehend über das npm-Registry zum Download bereitstanden. SAP hat den Hinweis um ein weiteres bösartiges npm-Paket sowie zusätzliche Hash-Werte erweitert, mit denen sich anfällige Versionen betroffener Pakete identifizieren lassen. Hinweis Nr. 3733064 (CVSS 9,6), erstmals im Mai veröffentlicht, behebt eine fehlende Authentifizierungsprüfung in der Konfiguration von SAP Commerce Cloud; das Juni-Update enthält textliche Anpassungen in den Abschnitten Symptom, Other Terms, Solution und Workaround.
High-Priority-Hinweise
Security Note #3747484 (CVSS 7,4) schließt mehrere bekannte Schwachstellen in Apache Tomcat innerhalb von SAP Commerce Cloud, dokumentiert als CVE-2026-29145, CVE-2025-66614 und CVE-2026-24734. Die Lücken betreffen zertifikatsbasierte Authentifizierung und Validierungsmechanismen. Der Hinweis stellt Patches bereit, die Apache Tomcat auf eine gegenüber diesen CVEs nicht mehr anfällige Version anheben.
Hinweis Nr. 3735546 (CVSS 7,1), gemeinsam mit Onapsis entwickelt, identifiziert ein Programm in SAP NetWeaver AS ABAP und der ABAP Platform, das es einem authentifizierten Angreifer mit geringen Rechten erlaubt, die Daten eines anderen Benutzers zu überschreiben und so eine Rechteausweitung herbeizuführen. Die eingeschränkte Ausgangsberechtigung begrenzt den theoretischen CVSS-Score, doch der Eskalationspfad macht den Fund für Mandanten- und Shared-Use-Umgebungen relevant.
SAP Security Note #373247 (CVSS 8,2), erstmals im Mai in Zusammenarbeit mit ORL veröffentlicht, adressiert eine OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment. SAP hat im Juni-Update zusätzliche Korrekturanweisungen ergänzt, um eine vollständige Behebung sicherzustellen.
Weitere Beiträge der Onapsis Research Labs
Neben den HotNews- und High-Priority-Mitautorschaften hat ORL drei weitere Hinweise mittlerer Priorität beigesteuert. Hinweis Nr. 3751691 (CVSS 6,5) behebt eine SQL-Injection-Schwachstelle in SAP S/4HANA: Ein RFC-fähiger Funktionsbaustein kann von einem authentifizierten Angreifer genutzt werden, um unbefugte Datenbankabfragen auszuführen und auf Daten zuzugreifen, für die keine Berechtigung besteht. Hinweis Nr. 3723655 (CVSS 6,1) schließt eine Reflected-XSS-Lücke im SAP NetWeaver AS Java JDBC Test Servlet, über die ein nicht authentifizierter Angreifer eine URL mit eingebettetem bösartigem Skript erstellen kann, das im Browser eines Opfers ausgeführt wird. Hinweis Nr. 3715280 (CVSS 4,7) korrigiert eine XSS-Schwachstelle im SAP Wily Introscope Enterprise Manager, die durch unzureichende Kodierung von URL-Parametern verursacht wird und Skripteinschleusung im Anwendungskontext ermöglicht.
Bewertung und Handlungsempfehlung
Der Juni-Zyklus 2026 gehört zu den anspruchsvollsten der jüngeren Vergangenheit. Vier neue HotNews-Veröffentlichungen und ein kombinierter CVSS-Footprint spiegeln reale, weitreichende Risiken in den Bereichen Authentifizierung, Speichersicherheit und Web-Layer-Sicherheit wider. Unternehmen, die SAP NetWeaver AS ABAP betreiben, sollten die Hinweise Nr. 3746332 und Nr. 3717897 als Not-Priority behandeln; die SAML-Schwachstelle bietet insbesondere keine praktikable Abhilfemaßnahme ausser der Deaktivierung des Authentifizierungsmechanismus. Commerce-Cloud- und Data-Hub-Administratoren sollten die Auswirkungen der Spring-Security-Header-Lücke unverzüglich bewerten. Onapsis hat bestätigt, seine Plattform entsprechend zu aktualisieren, um Kunden die Bewertung ihrer eigenen Gefährdungslage zu ermöglichen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de