SAP hat im Rahmen des April 2026 Patch Day 22 neue und aktualisierte Security Notes veröffentlicht. Die Freigabe enthält eine HotNews-Note mit CVSS-Wert 9.9 und zwei High-Priority-Notes.
Die HotNews-Note (SAP Security Note 3719353, CVE-2026-27681) behebt eine SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse. Das Problem betrifft ein ABAP-Programm, das einem Benutzer mit niedrigen Rechten das Hochladen einer Datei mit beliebigen SQL-Anweisungen ermöglicht, die anschließend ausgeführt werden. Der Patch deaktiviert allen ausführbaren Code im betroffenen Programm. SAP nennt als temporäre Maßnahme das Entziehen des S_GUI-Berechtigungsobjekts (Aktivität 60 – Upload); diese Maßnahme kann jedoch andere Anwendungen beeinträchtigen.
Zwei High-Priority-Notes wurden ebenfalls veröffentlicht. SAP Security Note 3678282 (CVE-2026-0485, CVSS 7.5) ist eine Aktualisierung einer Denial-of-Service-Schwachstelle in SAP BusinessObjects BI Platform. SAP Security Note 3731908 (CVE-2026-34256, CVSS 7.1) behebt eine fehlende Berechtigungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise). Die Lücke ermöglicht einem authentifizierten Angreifer die Ausführung eines bestimmten ABAP-Programms und das Überschreiben beliebiger achtstelliger ausführbarer Programme.
Die Onapsis Research Labs unterstützten SAP bei der Behebung von sechs Schwachstellen in fünf Notes, darunter die HotNews-Note. Weitere Notes mit Beteiligung des Teams sind:
| SAP Note | Type | Description (CVE) | Component | Priority | CVSS |
| 3719353 | New | SQL Injection (CVE-2026-27681) | EPM-BPC-NW-SQE | HotNews | 9.9 |
| 3678282 | Update | Denial of service (CVE-2026-0485) | BI-BIP-SRV | High | 7.5 |
| 3731908 | New | Missing Authorization check (CVE-2026-34256) | CA-JVA-JVA | High | 7.1 |
| 3680767 | New | Information Disclosure (CVE-2026-34264) | PA-PA-XX | Medium | 6.5 |
| 3715177 | New | Missing Authorization check (CVE-2026-27678) | PM-EQM-RS | Medium | 6.5 |
| 3715097 | New | Missing Authorization check (CVE-2026-27677) | PM-EQM-EQ | Medium | 6.5 |
| 3696239 | New | Denial of Service (CVE-2025-64775) | BI-BIP-SEC | Medium | 6.5 |
| 3705094 | New | Missing Authorization check (CVE-2026-34261) | PA-OS | Medium | 6.5 |
| 3716767 | New | Missing Authorization check (CVE-2026-27679) | PM-EQM-RS | Medium | 6.5 |
| 3689080 | Update | Server-Side Request Forgery (CVE-2026-24316) | BC-TWB-TST-ECA | Medium | 6.4 |
| 3692004 | New | Open Redirect (CVE-2026-34257) | BC-FES-ITS | Medium | 6.1 |
| 3719397 | New | Code Injection (CVE-2026-27674) | BC-WD-JAV | Medium | 6.1 |
| 3645228 | New | Cross-Site Scripting (CVE-2026-0512) | SRM-EBP-CAT | Medium | 6.1 |
| 3730639 | New | Information Disclosure (CVE-2026-34262) | HAN-CPT-CPT2-DBX | Medium | 5.0 |
| 3703813 | New | Missing Authorization Check (CVE-2026-27673) | IS-U-TO-MI | Medium | 4.9 |
| 3703276 | New | Missing Authorization check (CVE-2026-27672) | SCM-BAS-INT-MD | Medium | 4.3 |
| 3711682 | New | Missing Authorization check (CVE-2026-27676) | PM-EQM-RS | Medium | 4.3 |
| 3530544 | Update | Missing Authorization check (CVE-2025-42899) | FI-FIO-GL-TRA | Medium | 4.3 |
| 3702191 | New | Insecure Session Management (CVE-2026-24318) | BI-BIP-INV | Medium | 4.2 |
| 3698216 | New | Reflected XSS (CVE-2026-27683) | BI-BIP-INV | Medium | 4.1 |
| 3665042 | Update | CSS Injection (CVE-2026-27680) | BC-WD-UR | Low | 3.1 |
| 3723097 | New | Code Injection (CVE-2026-27675) | CA-LT-PCL | Low | 2.0 |
Die vollständige Liste der am 14. April 2026 veröffentlichten Notes findet sich in der obigen Tabelle
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de