| Zum SAP Patch Day im März 2026 hat SAP zwanzig Sicherheitshinweise veröffentlicht. Zwei davon werden als HotNews eingestuft. | For the SAP Patch Day in March 2026, SAP published twenty security notes. Two are classified as HotNews. |
Zum monatlichen SAP Patch Day im März 2026 hat SAP insgesamt 20 neue und aktualisierte Sicherheitshinweise veröffentlicht. Zwei davon tragen das höchste Warnniveau – HotNews –, da sie kritische Schwachstellen mit weitreichenden Folgen für betroffene Systeme adressieren. Eine weitere hohe Priorität weist auf ernste Risiken in SAP Supply Chain Management hin. Die Onapsis Research Labs (ORL) waren an der Entdeckung und Meldung einer der neuen Schwachstellen beteiligt.
Log4j kehrt zurück: Kritische Code-Injection in SAP Quotation Management InsuranceDie schwerwiegendste Schwachstelle des aktuellen Patch Days trägt die Kennung #3698553 und erreicht einen CVSS-Score von 9.8 – nahezu die maximale Bewertungsstufe. Betroffen ist SAP Quotation Management Insurance (FS-QUO), das intern ein veraltetes Apache-Log4j-Artefakt in der Version 1.2.17 einsetzt. Diese Bibliotheksversion ist seit Jahren für die Sicherheitslücke CVE-2019-17571 bekannt. Die Schwachstelle ermöglicht einem nicht authentifizierten Angreifer, über das Netzwerk beliebigen Code auf dem betroffenen Server auszuführen – ohne jede Anmeldung oder Berechtigung. Die potenziellen Folgen sind gravierend: Vollständiger Verlust der Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung sowie der damit verarbeiteten Versicherungsdaten. SAP empfiehlt betroffenen Kunden dringend, den bereitgestellten Patch umgehend einzuspielen. Unsichere Deserialisierung bedroht SAP NetWeaver Enterprise PortalDie zweite HotNews (#3714585, CVSS 9.1) betrifft SAP NetWeaver Enterprise Portal Administration. Eine fehlende oder unzureichende Validierung beim Deserialisieren hochgeladener Inhalte erlaubt es einem Angreifer mit entsprechenden Administrationsrechten, nicht vertrauenswürdige oder bösartige Dateien in das System einzuschleusen. Der CVSS-Score liegt bei 9.1 statt 10.0, weil für einen erfolgreichen Angriff hohe Berechtigungen vorausgesetzt werden – das schränkt den Kreis potenzieller Angreifer ein, mindert aber die Ernsthaftigkeit der Schwachstelle nicht grundlegend. Gerade in Unternehmensumgebungen mit zahlreichen privilegierten Accounts stellt diese Lücke ein erhebliches Risiko dar. High Priority: Denial-of-Service-Gefahr in SAP Supply Chain ManagementDie Sicherheitsmeldung #3719502 (CVSS 7.7) adressiert eine Denial-of-Service-Schwachstelle in SAP Supply Chain Management, die von den Onapsis Research Labs entdeckt wurde. Ursache ist ein remote zugängliches Funktionsmodul, das eine Schleife mit einer über einen Eingabeparameter extern steuerbaren Iterationsanzahl ausführt. Ein authentifizierter Angreifer mit regulären Nutzerrechten kann dieses Modul wiederholt aufrufen und dadurch exzessiv Systemressourcen verbrauchen – bis hin zur vollständigen Nichtverfügbarkeit des Systems. SAP begegnet dem Problem mit einer fest codierten Obergrenze von 30.000 Schleifeniterationen. Die zugehörige CVE-Kennung lautet CVE-2026-27689. Aktualisierung: XML-Signatur-Wrapping in SAP NetWeaver ABAPEbenfalls in der März-Runde enthalten ist eine aktualisierte High Priority Note (#3697567, CVSS 8.8) zu einer XML-Signatur-Wrapping-Schwachstelle in SAP NetWeaver AS ABAP und der ABAP Platform. Der Hinweis wurde erstmals im Februar veröffentlicht; die März-Aktualisierung umfasst lediglich geringfügige Textänderungen im Lösungsabschnitt. Bewertung und HandlungsempfehlungDer März-Patch-Day unterstreicht einmal mehr, wie langlebig bekannte Bibliotheksschwachstellen wie Log4j für Unternehmen sein können, wenn Abhängigkeiten nicht konsequent aktualisiert werden. Die Kombination aus einer nahezu maximalen CVSS-Bewertung und der Möglichkeit zur unauthentifizierten Remote-Code-Ausführung macht den Log4j-Patch zur dringlichsten Maßnahme dieses Zyklus. Die Onapsis Research Labs aktualisieren die Onapsis-Plattform fortlaufend, um neu veröffentlichte Schwachstellen zeitnah abzudecken und betroffenen Unternehmen optimalen Schutz zu bieten. SAP-Kunden wird empfohlen, alle verfügbaren Patches prioritär einzuspielen und insbesondere die HotNews-Hinweise nicht auf den nächsten Wartungszyklus zu verschieben. |
For the monthly SAP Patch Day in March 2026, SAP released a total of 20 new and updated security notes. Two of them carry the highest warning level — HotNews — as they address critical vulnerabilities with far-reaching consequences for affected systems. An additional High Priority note highlights serious risks within SAP Supply Chain Management. The Onapsis Research Labs (ORL) were involved in the discovery and reporting of one of the new vulnerabilities.
Log4j Returns: Critical Code Injection in SAP Quotation Management InsuranceThe most severe vulnerability of the current Patch Day carries the identifier #3698553 and reaches a CVSS score of 9.8 — nearly the maximum rating. Affected is SAP Quotation Management Insurance (FS-QUO), which internally uses an outdated Apache Log4j artifact at version 1.2.17. This library version has long been known for the security vulnerability CVE-2019-17571. The flaw allows an unauthenticated attacker to remotely execute arbitrary code on the affected server — without any login or permissions. The potential consequences are severe: complete loss of confidentiality, integrity, and availability of the application and the insurance data it processes. SAP strongly urges affected customers to apply the provided patch immediately. Insecure Deserialization Threatens SAP NetWeaver Enterprise PortalThe second HotNews note (#3714585, CVSS 9.1) affects SAP NetWeaver Enterprise Portal Administration. Missing or insufficient validation during the deserialization of uploaded content allows an attacker with the appropriate administrative privileges to upload untrusted or malicious files into the system. The CVSS score is 9.1 rather than 10.0 because a successful attack requires elevated privileges — limiting the pool of potential attackers, though this does not fundamentally diminish the severity of the vulnerability. Particularly in enterprise environments with many privileged accounts, this gap represents a substantial risk. High Priority: Denial-of-Service Risk in SAP Supply Chain ManagementSecurity note #3719502 (CVSS 7.7) addresses a denial-of-service vulnerability in SAP Supply Chain Management discovered by the Onapsis Research Labs. The root cause is a remotely accessible function module that executes a loop whose iteration count can be externally controlled via an input parameter. An authenticated attacker with standard user rights can call this module repeatedly, consuming excessive system resources and potentially rendering the system completely unavailable. SAP addresses the issue by introducing a hardcoded cap of 30,000 loop iterations. The associated CVE identifier is CVE-2026-27689. Update: XML Signature Wrapping in SAP NetWeaver ABAPAlso included in the March cycle is an updated High Priority note (#3697567, CVSS 8.8) addressing an XML signature wrapping vulnerability in SAP NetWeaver AS ABAP and the ABAP Platform. The note was originally published in February; the March update contains only minor text changes in the solution section. Assessment and Recommended ActionThe March Patch Day once again underscores how long-lived known library vulnerabilities like Log4j can be for organizations that do not consistently update their dependencies. The combination of a near-maximum CVSS score and the possibility of unauthenticated remote code execution makes the Log4j patch the most urgent measure in this cycle. The Onapsis Research Labs continuously update the Onapsis platform to reflect newly published vulnerabilities, providing affected organizations with the best possible protection in a timely manner. SAP customers are advised to prioritize the application of all available patches and, in particular, not to defer the HotNews notes to the next maintenance window. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de