1.6 Aktiv ausgenutzte Lücken
Enterprise-Apps, ERP, HR, SaaS

SAP

Enterprise-Apps, ERP, HR, SaaS

SAP gehört zur Kategorie „Enterprise-Apps, ERP, HR, SaaS". xonatec überwacht SAP kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.

53
Reports
16
Aktiv ausgenutzt
Kritisch
Höchste Priorität
96.3%
Max. EPSS

Schwachstellen-Reports

53 Reports

Zeige 1 bis 50 von 53

  1. Linux Kernel – Incorrect Resource Transfer Between Spheres (Copy Fail)

    CVE-2026-31431 Hoch Aktiv ausgenutzt

    Im Linux-Kernel wurde eine Schwachstelle in der Krypto-Schicht (algif_aead) identifiziert, die durch eine fehlerhafte Ressourcenübertragung zwischen Sicherheitsbereichen ausgelöst wird ("Copy Fail"). CVSS-Basiswert: 7.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.3 %. 3 Produkt(e) betroffen, 1 mit Fix. Ein manuell erfasster Community-Beitrag (r/cybersecurity) datiert die KEV-Aufnahme auf den 2026-05-01 und verweist auf die "Copy Fail"-Analyse von Theori, die den Fehler der In-place-Verarbeitung von AF_ALG/AEAD zuordnet; als besonders exponiert gelten dort geteilte CI-Runner, Kubernetes-Knoten und mandantenfähige Linux-Hosts. Empfohlene Massnahme: Kernel-Patchstand nachweisen oder die Nutzung von AF_ALG einschränken.

    CVSS: 7.8 EPSS: 96.27% Publiziert: Referenz: CISA KEV
  2. Linux Kernel – Improper Authentication in cgroup_release_agent_write

    CVE-2022-0492 Hoch Aktiv ausgenutzt

    Im Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.

    CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV
  3. SAP NetWeaver – Fehlende Authentifizierung für kritische Funktion

    CVE-2020-6287 Aktiv ausgenutzt

    SAP NetWeaver weist eine fehlende Authentifizierung für kritische Funktionen auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.39% Publiziert: Referenz: CISA KEV
  4. SAP Solution Manager – Fehlende Authentifizierung für kritische Funktion

    CVE-2020-6207 Aktiv ausgenutzt

    SAP Solution Manager weist eine fehlende Authentifizierung für kritische Funktionen auf, die es Angreifern ermöglicht, unbefugt auf solche zuzugreifen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.

    EPSS: 94.15% Publiziert: Referenz: CISA KEV
  5. SAP – HTTP Request Smuggling in mehreren Produkten

    CVE-2022-22536 Aktiv ausgenutzt

    Mehrere SAP-Produkte sind von einer HTTP-Request-Smuggling-Schwachstelle betroffen, die Angreifer ausnutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

    EPSS: 93.83% Publiziert: Referenz: CISA KEV
  6. SAP NetWeaver: Directory Traversal

    CVE-2017-12637 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.4 %.

    EPSS: 93.44% Publiziert: Referenz: CISA KEV
  7. SAP NetWeaver – Uneingeschränkter Datei-Upload

    CVE-2021-38163 Aktiv ausgenutzt

    SAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was Angreifer für die Ausführung von Schadcode nutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.5 %.

    EPSS: 83.45% Publiziert: Referenz: CISA KEV
  8. SAP NetWeaver: Directory Traversal

    CVE-2016-3976 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 76.3 %.

    EPSS: 76.29% Publiziert: Referenz: CISA KEV
  9. SAP NetWeaver: Informationsoffenlegung

    CVE-2016-2388 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine Schwachstelle zur Offenlegung von Informationen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.8 %.

    EPSS: 67.75% Publiziert: Referenz: CISA KEV
  10. SAP NetWeaver: XML External Entity (XXE)

    CVE-2016-9563 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine XML External Entity (XXE)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 58.8 %.

    EPSS: 58.78% Publiziert: Referenz: CISA KEV
  11. SAP CRM: Path Traversal

    CVE-2018-2380 Aktiv ausgenutzt Ransomware

    In SAP Customer Relationship Management (CRM) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 48.8 %.

    EPSS: 48.79% Publiziert: Referenz: CISA KEV
  12. SAP NetWeaver: SQL Injection

    CVE-2016-2386 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 44.5 %.

    EPSS: 44.46% Publiziert: Referenz: CISA KEV
  13. SAP NetWeaver – Uneingeschränkter Datei-Upload

    CVE-2025-31324 Aktiv ausgenutzt Ransomware

    SAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was zur Ausführung von Schadcode ausgenutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 43.7 %.

    EPSS: 43.66% Publiziert: Referenz: CISA KEV
  14. SAP Commerce Cloud – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2019-0344 Aktiv ausgenutzt

    In SAP Commerce Cloud besteht eine Schwachstelle durch die Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 40.2 %.

    EPSS: 40.20% Publiziert: Referenz: CISA KEV
  15. SAP NetWeaver – Deserialisierungsschwachstelle

    CVE-2025-42999 Aktiv ausgenutzt

    In SAP NetWeaver besteht eine Schwachstelle durch unsichere Deserialisierung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 38.6 %.

    EPSS: 38.57% Publiziert: Referenz: CISA KEV
  16. SAP NetWeaver: Remote Code Execution

    CVE-2010-5326 Aktiv ausgenutzt

    In SAP NetWeaver wurde eine Schwachstelle identifiziert, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 13.2 %.

    EPSS: 13.18% Publiziert: Referenz: CISA KEV
  17. SAP NetWeaver AS Java – Path Traversal durch manipulierte File-Inclusion-Parameter

    CVE-2026-40128 Kritisch

    Der SAP NetWeaver Application Server Java (Web Container) erlaubt laut NVD einem nicht authentifizierten Angreifer, eine bösartige HTTP-Logon-Anfrage zu erstellen, die File-Inclusion-Parameter manipuliert und so Path Traversal ermöglicht. Der Angriff ist netzwerkbasiert bei hoher Angriffskomplexität und mit geändertem Berechtigungsumfang (Scope Changed) möglich. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.0 EPSS: 0.45% Publiziert: Referenz: NVD
  18. SAP NetWeaver AS ABAP: fehlerhafte RFC-Protokollvalidierung im SAP Kernel

    CVE-2026-27671 Kritisch

    Durch eine fehlerhafte Validierung des RFC-Protokolls im SAP Kernel, der vom Application Server ABAP von SAP NetWeaver und der ABAP Platform genutzt wird, kann ein nicht authentifizierter Angreifer eine präparierte RFC-Anfrage senden und damit die Schwachstelle ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.44% Publiziert: Referenz: NVD
  19. SAP NetWeaver AS ABAP: Manipulation signierter XML-Dokumente

    CVE-2026-44748 Kritisch

    SAP NetWeaver Application Server ABAP und die ABAP Platform erlauben es einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültige signierte Nachricht zu erlangen und modifizierte signierte XML-Dokumente an den Verifier zu senden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Den zugehörigen SAP-Sicherheitshinweis prüfen und den Patch einspielen.

    CVSS: 9.9 EPSS: 0.23% Publiziert: Referenz: NVD
  20. SAP CRM und S/4HANA – Ausführung nicht autorisierter kritischer Funktionen

    CVE-2026-0488 Kritisch

    Ein authentifizierter Angreifer in SAP CRM und SAP S/4HANA (Scripting Editor) kann eine Schwachstelle in einem generischen Funktionsbaustein ausnutzen, um nicht autorisierte kritische Funktionen auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.9 EPSS: 0.02% Publiziert: Referenz: NVD
  21. SAP NetWeaver ABAP – Umgehung der RFC-Autorisierung

    CVE-2026-0509 Kritisch

    SAP NetWeaver Application Server ABAP und ABAP Platform ermöglicht einem authentifizierten Nutzer mit niedrigen Rechten, Hintergrund-Remote-Function-Calls ohne die erforderliche S_RFC-Autorisierung durchzuführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.6 EPSS: 0.02% Publiziert: Referenz: NVD
  22. HTTP Request Smuggling in SAP Approuter (CVE-2026-27690)

    CVE-2026-27690 Kritisch

    Eine HTTP-Request-Smuggling-Schwachstelle im SAP Approuter erlaubt es einem nicht authentifizierten Angreifer, eine speziell präparierte HTTP-Anfrage zu senden, die zu einer Desynchronisation zwischen Anfrage und Antwort führt. CVSS-Basiswert: 9.1 (Kritisch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

    CVSS: 9.1 Publiziert: Referenz: NVD
  23. SAP NetWeaver AS ABAP – Speicherkorruption durch fehlerhafte Speicherverwaltung

    CVE-2026-44747 Kritisch

    Im SAP NetWeaver Application Server ABAP können authentifizierte Angreifer logische Fehler in der Speicherverwaltung ausnutzen und dadurch eine Speicherkorruption herbeiführen. In der Folge sind unbefugter Datenzugriff sowie die Veränderung von Daten möglich. Der CVSS-Basiswert liegt bei 9.9 (Kritisch). Betroffen sind Produkte von SAP und SuccessFactors (SAP).

    CVSS: 9.9 Publiziert: Referenz: NVD
  24. SAP Commerce Cloud: öffentlich dokumentierte Sample-OAuth2-Zugangsdaten

    CVE-2026-44761 Kritisch

    In SAP Commerce Cloud kann ein aus der Beispielkonfiguration der SAP-Help-Portal-Dokumentation stammender Sample-OAuth2-Client erhalten bleiben. Bleibt er unverändert, lassen sich die öffentlich dokumentierten Beispiel-Zugangsdaten missbrauchen, um sich unbefugt zu authentisieren. CVSS-Basiswert: 9.1 (Kritisch). Empfohlene Massnahme: die aus der Beispielkonfiguration übernommenen OAuth2-Client-Zugangsdaten prüfen und ändern bzw. den Sample-Client entfernen.

    CVSS: 9.1 Publiziert: Referenz: NVD
  25. GnuTLS – Schwachstelle in der DTLS-Paketumordnung

    CVE-2026-42009 Hoch

    In GnuTLS wurde ein Fehler in der Logik zur Umordnung von DTLS-Paketen (Datagram Transport Layer Security) gefunden. Ein entfernter Angreifer kann die Vergleichsfunktion ausnutzen, die für die Reihenfolge der DTLS-Pakete zuständig ist. Da GnuTLS in zahlreiche Linux-Distributionen und Produkte eingebettet ist, sind mehrere Hersteller betroffen (unter anderem Red Hat, Oracle Linux, Rocky Linux, IBM Storage und SAP). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Hersteller-Updates für GnuTLS einspielen.

    CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD
  26. Linux Kernel: netfilter – Use-after-free (nf_tables pipapo-Set)

    CVE-2024-0193 Hoch

    Im netfilter-Subsystem des Linux-Kernels wurde ein Use-after-free gefunden. Wird das Catchall-Element beim Entfernen des pipapo-Sets per Garbage Collection eingesammelt, kann das Element zweimal deaktiviert werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den vom Distributor bereitgestellten Kernel-Fix einspielen.

    CVSS: 7.8 EPSS: 0.14% Publiziert: Referenz: NVD
  27. SAP BusinessObjects BI Platform – Authentifizierungsumgehung

    CVE-2026-0490 Hoch

    SAP BusinessObjects BI Platform ermöglicht einem nicht authentifizierten Angreifer, durch einen speziell gestalteten Netzwerkanfrage die Authentifizierung zu umgehen und so legitime Benutzer am Zugriff zu hindern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.12% Publiziert: Referenz: NVD
  28. SAP – Denial of Service durch unkontrollierten Ressourcenverbrauch

    CVE-2026-23689 Hoch

    Aufgrund einer Schwachstelle durch unkontrollierten Ressourcenverbrauch kann ein authentifizierter Angreifer mit regulären Benutzerrechten und Netzwerkzugang eine remote-fähige Funktion wiederholt aufrufen und so einen Denial-of-Service-Zustand herbeiführen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.7 EPSS: 0.11% Publiziert: Referenz: NVD
  29. SAP BusinessObjects BI Platform – Denial of Service durch manipulierte Anfragen

    CVE-2026-0485 Hoch

    SAP BusinessObjects BI Platform erlaubt es einem nicht authentifizierten Angreifer, speziell gestaltete Anfragen zu senden, die zum Absturz des Content Management Servers (CMS) führen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  30. SAP Solution Tools Plug-In – fehlende Autorisierungsprüfung

    CVE-2026-24322 Hoch

    Das SAP Solution Tools Plug-In (ST-PI) enthält ein Funktionsmodul, das für authentifizierte Benutzer keine ausreichenden Autorisierungsprüfungen durchführt, wodurch sensible Informationen offengelegt werden können. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.7 EPSS: 0.04% Publiziert: Referenz: NVD
  31. SAP NetWeaver ABAP – XML Signature Wrapping

    CVE-2026-23687 Hoch

    In SAP NetWeaver Application Server ABAP und der ABAP Platform können authentifizierte Angreifer mit normalen Berechtigungen eine gültige signierte Nachricht erlangen und anschliessend manipulierte signierte XML-Dokumente an den Verifizierer senden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  32. SAP BusinessObjects BI Platform – Stored Cross-Site Scripting

    CVE-2026-0508 Hoch

    Die SAP BusinessObjects Business Intelligence Platform erlaubt einem authentifizierten Angreifer mit hohen Rechten, eine schädliche URL in die Anwendung einzuschleusen, was zu Cross-Site-Scripting-Angriffen führen kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.01% Publiziert: Referenz: NVD
  33. Unzureichende Header-Validierung im OAuth2-Login des SAP Approuter (CVE-2026-44745)

    CVE-2026-44745 Hoch

    Der SAP Approuter validiert eingehende Request-Header im OAuth2-Login-Flow unter bestimmten Konfigurationen nicht korrekt. Dadurch kann ein nicht authentifizierter, entfernter Angreifer einen bösartigen Link erstellen, um die Schwachstelle auszunutzen. CVSS-Basiswert: 8.1 (Hoch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

    CVSS: 8.1 Publiziert: Referenz: NVD
  34. SAP NetWeaver AS Java – Cross-Site-Scripting über präparierte URLs

    CVE-2026-44752 Hoch

    Der SAP NetWeaver Application Server Java erlaubt es nicht authentifizierten Angreifern, über präparierte URLs schädlichen JavaScript-Code einzuschleusen. Ruft ein Opfer eine solche URL auf, wird das Skript im Browser des Nutzers ausgeführt (Cross-Site-Scripting). Der CVSS-Basiswert liegt bei 8.2 (Hoch). Betroffen sind Produkte von SAP, SuccessFactors (SAP) sowie Java/OpenJDK (Oracle).

    CVSS: 8.2 Publiziert: Referenz: NVD
  35. SAP Change and Transport System (ctsattach): unsichere Verarbeitung präparierter Archive

    CVE-2026-58233 Hoch

    Das Attach-Tool (ctsattach) des SAP Change and Transport System erlaubt einem authentifizierten Angreifer, eine speziell präparierte Archivdatei einzuschleusen. Wird diese von der Bibliothek der Anwendung verarbeitet, lässt sich eine unsichere Verarbeitung auslösen. CVSS-Basiswert: 7.6 (Hoch). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.

    CVSS: 7.6 Publiziert: Referenz: NVD
  36. GNU C Library (glibc): Use-after-free in getaddrinfo

    CVE-2023-4806 Mittel

    In der GNU C Library (glibc) wurde eine Schwachstelle identifiziert. In einer äusserst seltenen Situation kann die Funktion getaddrinfo auf bereits freigegebenen Speicher zugreifen, was zu einem Absturz der Anwendung führt. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: die von den betroffenen Herstellern und Distributionen bereitgestellte aktualisierte glibc-Version einspielen.

    CVSS: 5.9 EPSS: 1.44% Publiziert: Referenz: NVD
  37. SAP NetWeaver AS ABAP / ABAP Platform – OS Command Injection

    CVE-2026-40135 Mittel

    Im SAP NetWeaver Application Server für ABAP und in der ABAP Platform besteht eine OS-Command-Injection-Schwachstelle. Ein authentifizierter Angreifer mit administrativem Zugriff kann laut Quelle speziell präparierte Befehle ausführen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.5 EPSS: 0.23% Publiziert: Referenz: NVD
  38. SAP NetWeaver AS Java (Web Dynpro Java): Code-Injection durch nicht authentifizierte Angreifer

    CVE-2026-27674 Mittel

    Aufgrund einer Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) könnte ein nicht authentifizierter Angreifer präparierte Eingaben liefern, die von der Anwendung interpretiert werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD
  39. SAP NetWeaver AS ABAP: Open Redirect

    CVE-2026-34257 Mittel

    Aufgrund einer Open-Redirect-Schwachstelle im SAP NetWeaver Application Server ABAP könnte ein nicht authentifizierter Angreifer eine bösartige URL erstellen, die ein Opfer beim Aufruf auf eine andere Seite umleitet. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Den zugehörigen SAP-Security-Patch einspielen.

    CVSS: 6.1 EPSS: 0.06% Publiziert: Referenz: NVD
  40. SAP NetWeaver AS ABAP: Fehlende Autorisierungsprüfung

    CVE-2026-24309 Mittel

    Aufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server for ABAP könnte ein authentifizierter Angreifer ein bestimmtes ABAP-Funktionsmodul ausführen, um Einträge in der Datenbank zu lesen, zu verändern oder einzufügen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.4 EPSS: 0.05% Publiziert: Referenz: NVD
  41. SAP NetWeaver AS ABAP: Server-Side Request Forgery über Test-Report

    CVE-2026-24316 Mittel

    Der SAP NetWeaver Application Server for ABAP stellt einen ABAP-Report für Testzwecke bereit, der HTTP-Anfragen an beliebige interne oder externe Endpunkte senden kann. Dadurch ist der Report für Server-Side Request Forgery (SSRF) anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: den SAP-Sicherheitshinweis umsetzen und betroffene Komponenten patchen.

    CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD
  42. SAP NetWeaver AS ABAP – Fehlende Autorisierungsprüfung

    CVE-2026-27688 Mittel

    Aufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP kann ein authentifizierter Angreifer mit Benutzerrechten über ein bestimmtes RFC-Funktionsmodul Database-Analyzer-Log-Dateien auslesen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.0 EPSS: 0.04% Publiziert: Referenz: NVD
  43. SAP NetWeaver AS ABAP: Reflected XSS in Business Server Pages

    CVE-2026-27682 Mittel

    Aufgrund einer Reflected-Cross-Site-Scripting-Schwachstelle (XSS) im SAP NetWeaver Application Server ABAP (auf Business Server Pages basierende Anwendungen) kann ein nicht authentifizierter Angreifer eine präparierte URL erstellen und einem Opfer unterschieben. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.7 EPSS: 0.02% Publiziert: Referenz: NVD
  44. SAP NetWeaver Enterprise Portal – Reflected Cross-Site Scripting

    CVE-2026-44759 Mittel

    SAP NetWeaver Enterprise Portal erlaubt einem nicht authentifizierten Angreifer, über einen URL-Parameter Schadskripte einzuschleusen. Die Skripte werden in der Serverantwort reflektiert und im Browser des Opfers ausgeführt (Reflected Cross-Site Scripting). CVSS-Basiswert: 6.1 (Mittel). Empfohlene Massnahme: Herstellerhinweise beachten und verfügbare Aktualisierungen einspielen.

    CVSS: 6.1 Publiziert: Referenz: NVD
  45. SAP NetWeaver AS ABAP (Business Server Pages): Reflected Cross-Site Scripting

    CVE-2026-44760 Mittel

    Anwendungen auf Basis des Business-Server-Pages-Frameworks im SAP NetWeaver Application Server ABAP spiegeln ungeprüfte Eingaben in die HTTP-Antwort zurück, was eine Cross-Site-Scripting-Schwachstelle ermöglicht. CVSS-Basiswert: 4.7 (Mittel). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.

    CVSS: 4.7 Publiziert: Referenz: NVD
  46. SAP – setThemeRoot() umgeht die Theme-Origin-Allowlist

    CVE-2026-44767 Mittel

    Die Funktion setThemeRoot() erzwingt die Allowlist sap-allowed-theme-origins nicht. Eine vom Angreifer kontrollierte, absolute Cross-Origin-URL kann gespeichert und direkt zum Aufbau eines Stylesheet-Verweises verwendet werden. CVSS-Basiswert: 6.1 (Mittel).

    CVSS: 6.1 Publiziert: Referenz: NVD
  47. CVE-2026-44768 – Fehlende Content Security Policy im SAP CRM WebClient UI

    CVE-2026-44768 Mittel

    Das SAP CRM WebClient UI erlaubt einem Angreifer aufgrund einer fehlenden Content-Security-Policy-Konfiguration für bestimmte eingeschränkte Bereiche, schädliche Skripte im Kontext der Anwendung einzuschleusen und auszuführen. CVSS-Basiswert: 4.1 (Mittel).

    CVSS: 4.1 Publiziert: Referenz: NVD
  48. SAP S/4HANA PPM-PRO – SQL-Injection im Projektmanagement

    CVE-2026-44769 Mittel

    In der Projektmanagement-Komponente (PPM-PRO) der SAP-S/4HANA-Anwendung können Angreifer mit hohen Berechtigungen präparierte Datenbankabfragen ausführen und so die Backend-Datenbank offenlegen. Der CVSS-Basiswert liegt bei 5.5 (Mittel). Betroffen sind Produkte von SAP und SuccessFactors (SAP).

    CVSS: 5.5 Publiziert: Referenz: NVD
  49. SAP Create Single Payment: Fehlende Autorisierungsprüfung

    CVE-2026-44770 Mittel

    SAP Create Single Payment führt für einen authentifizierten Benutzer nicht die erforderlichen Autorisierungsprüfungen durch. Ein eingeschränkter Benutzer könnte auf bestimmte Entity-Set-Schlüssel zugreifen, was zur Offenlegung von Informationen führt. CVSS-Basiswert: 4.3 (Mittel).

    CVSS: 4.3 Publiziert: Referenz: NVD
  50. Fehlende Berechtigungsprüfung in SAP S/4HANA Draft-Operation (CVE-2026-44771)

    CVE-2026-44771 Mittel

    Die Draft-Operation von SAP S/4HANA führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch. Ein eingeschränkter Benutzer könnte dadurch auf Informationen innerhalb der Entität zugreifen, was zu einer Rechteausweitung führt. CVSS-Basiswert: 4.3 (Mittel). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

    CVSS: 4.3 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für SAP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog