SuccessFactors (SAP)
SuccessFactors (SAP) gehört zur Kategorie „Enterprise-Apps, ERP, HR, SaaS". xonatec überwacht SuccessFactors (SAP) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
53 ReportsZeige 1 bis 50 von 53
-
Linux Kernel – Incorrect Resource Transfer Between Spheres (Copy Fail)
CVE-2026-31431 Hoch Aktiv ausgenutztIm Linux-Kernel wurde eine Schwachstelle in der Krypto-Schicht (algif_aead) identifiziert, die durch eine fehlerhafte Ressourcenübertragung zwischen Sicherheitsbereichen ausgelöst wird ("Copy Fail"). CVSS-Basiswert: 7.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.3 %. 3 Produkt(e) betroffen, 1 mit Fix. Ein manuell erfasster Community-Beitrag (r/cybersecurity) datiert die KEV-Aufnahme auf den 2026-05-01 und verweist auf die "Copy Fail"-Analyse von Theori, die den Fehler der In-place-Verarbeitung von AF_ALG/AEAD zuordnet; als besonders exponiert gelten dort geteilte CI-Runner, Kubernetes-Knoten und mandantenfähige Linux-Hosts. Empfohlene Massnahme: Kernel-Patchstand nachweisen oder die Nutzung von AF_ALG einschränken.
CVSS: 7.8 EPSS: 96.27% Publiziert: Referenz: CISA KEV -
Linux Kernel – Improper Authentication in cgroup_release_agent_write
CVE-2022-0492 Hoch Aktiv ausgenutztIm Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.
CVSS: 7.8 EPSS: 28.12% Publiziert: Referenz: CISA KEV -
SAP NetWeaver – Fehlende Authentifizierung für kritische Funktion
CVE-2020-6287 Aktiv ausgenutztSAP NetWeaver weist eine fehlende Authentifizierung für kritische Funktionen auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.39% Publiziert: Referenz: CISA KEV -
SAP Solution Manager – Fehlende Authentifizierung für kritische Funktion
CVE-2020-6207 Aktiv ausgenutztSAP Solution Manager weist eine fehlende Authentifizierung für kritische Funktionen auf, die es Angreifern ermöglicht, unbefugt auf solche zuzugreifen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.
EPSS: 94.15% Publiziert: Referenz: CISA KEV -
SAP – HTTP Request Smuggling in mehreren Produkten
CVE-2022-22536 Aktiv ausgenutztMehrere SAP-Produkte sind von einer HTTP-Request-Smuggling-Schwachstelle betroffen, die Angreifer ausnutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.
EPSS: 93.83% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: Directory Traversal
CVE-2017-12637 Aktiv ausgenutztIn SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.4 %.
EPSS: 93.44% Publiziert: Referenz: CISA KEV -
SAP NetWeaver – Uneingeschränkter Datei-Upload
CVE-2021-38163 Aktiv ausgenutztSAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was Angreifer für die Ausführung von Schadcode nutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.5 %.
EPSS: 83.45% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: Directory Traversal
CVE-2016-3976 Aktiv ausgenutztIn SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 76.3 %.
EPSS: 76.29% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: Informationsoffenlegung
CVE-2016-2388 Aktiv ausgenutztIn SAP NetWeaver wurde eine Schwachstelle zur Offenlegung von Informationen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.8 %.
EPSS: 67.75% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: XML External Entity (XXE)
CVE-2016-9563 Aktiv ausgenutztIn SAP NetWeaver wurde eine XML External Entity (XXE)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 58.8 %.
EPSS: 58.78% Publiziert: Referenz: CISA KEV -
SAP CRM: Path Traversal
CVE-2018-2380 Aktiv ausgenutzt RansomwareIn SAP Customer Relationship Management (CRM) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 48.8 %.
EPSS: 48.79% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: SQL Injection
CVE-2016-2386 Aktiv ausgenutztIn SAP NetWeaver wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 44.5 %.
EPSS: 44.46% Publiziert: Referenz: CISA KEV -
SAP NetWeaver – Uneingeschränkter Datei-Upload
CVE-2025-31324 Aktiv ausgenutzt RansomwareSAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was zur Ausführung von Schadcode ausgenutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 43.7 %.
EPSS: 43.66% Publiziert: Referenz: CISA KEV -
SAP Commerce Cloud – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2019-0344 Aktiv ausgenutztIn SAP Commerce Cloud besteht eine Schwachstelle durch die Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 40.2 %.
EPSS: 40.20% Publiziert: Referenz: CISA KEV -
SAP NetWeaver – Deserialisierungsschwachstelle
CVE-2025-42999 Aktiv ausgenutztIn SAP NetWeaver besteht eine Schwachstelle durch unsichere Deserialisierung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 38.6 %.
EPSS: 38.57% Publiziert: Referenz: CISA KEV -
SAP NetWeaver: Remote Code Execution
CVE-2010-5326 Aktiv ausgenutztIn SAP NetWeaver wurde eine Schwachstelle identifiziert, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 13.2 %.
EPSS: 13.18% Publiziert: Referenz: CISA KEV -
SAP NetWeaver AS Java – Path Traversal durch manipulierte File-Inclusion-Parameter
CVE-2026-40128 KritischDer SAP NetWeaver Application Server Java (Web Container) erlaubt laut NVD einem nicht authentifizierten Angreifer, eine bösartige HTTP-Logon-Anfrage zu erstellen, die File-Inclusion-Parameter manipuliert und so Path Traversal ermöglicht. Der Angriff ist netzwerkbasiert bei hoher Angriffskomplexität und mit geändertem Berechtigungsumfang (Scope Changed) möglich. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.0 EPSS: 0.45% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: fehlerhafte RFC-Protokollvalidierung im SAP Kernel
CVE-2026-27671 KritischDurch eine fehlerhafte Validierung des RFC-Protokolls im SAP Kernel, der vom Application Server ABAP von SAP NetWeaver und der ABAP Platform genutzt wird, kann ein nicht authentifizierter Angreifer eine präparierte RFC-Anfrage senden und damit die Schwachstelle ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.44% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: Manipulation signierter XML-Dokumente
CVE-2026-44748 KritischSAP NetWeaver Application Server ABAP und die ABAP Platform erlauben es einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültige signierte Nachricht zu erlangen und modifizierte signierte XML-Dokumente an den Verifier zu senden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Den zugehörigen SAP-Sicherheitshinweis prüfen und den Patch einspielen.
CVSS: 9.9 EPSS: 0.23% Publiziert: Referenz: NVD -
SAP CRM und S/4HANA – Ausführung nicht autorisierter kritischer Funktionen
CVE-2026-0488 KritischEin authentifizierter Angreifer in SAP CRM und SAP S/4HANA (Scripting Editor) kann eine Schwachstelle in einem generischen Funktionsbaustein ausnutzen, um nicht autorisierte kritische Funktionen auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.9 EPSS: 0.02% Publiziert: Referenz: NVD -
SAP NetWeaver ABAP – Umgehung der RFC-Autorisierung
CVE-2026-0509 KritischSAP NetWeaver Application Server ABAP und ABAP Platform ermöglicht einem authentifizierten Nutzer mit niedrigen Rechten, Hintergrund-Remote-Function-Calls ohne die erforderliche S_RFC-Autorisierung durchzuführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.6 EPSS: 0.02% Publiziert: Referenz: NVD -
HTTP Request Smuggling in SAP Approuter (CVE-2026-27690)
CVE-2026-27690 KritischEine HTTP-Request-Smuggling-Schwachstelle im SAP Approuter erlaubt es einem nicht authentifizierten Angreifer, eine speziell präparierte HTTP-Anfrage zu senden, die zu einer Desynchronisation zwischen Anfrage und Antwort führt. CVSS-Basiswert: 9.1 (Kritisch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.
CVSS: 9.1 Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP – Speicherkorruption durch fehlerhafte Speicherverwaltung
CVE-2026-44747 KritischIm SAP NetWeaver Application Server ABAP können authentifizierte Angreifer logische Fehler in der Speicherverwaltung ausnutzen und dadurch eine Speicherkorruption herbeiführen. In der Folge sind unbefugter Datenzugriff sowie die Veränderung von Daten möglich. Der CVSS-Basiswert liegt bei 9.9 (Kritisch). Betroffen sind Produkte von SAP und SuccessFactors (SAP).
CVSS: 9.9 Publiziert: Referenz: NVD -
SAP Commerce Cloud: öffentlich dokumentierte Sample-OAuth2-Zugangsdaten
CVE-2026-44761 KritischIn SAP Commerce Cloud kann ein aus der Beispielkonfiguration der SAP-Help-Portal-Dokumentation stammender Sample-OAuth2-Client erhalten bleiben. Bleibt er unverändert, lassen sich die öffentlich dokumentierten Beispiel-Zugangsdaten missbrauchen, um sich unbefugt zu authentisieren. CVSS-Basiswert: 9.1 (Kritisch). Empfohlene Massnahme: die aus der Beispielkonfiguration übernommenen OAuth2-Client-Zugangsdaten prüfen und ändern bzw. den Sample-Client entfernen.
CVSS: 9.1 Publiziert: Referenz: NVD -
GnuTLS – Schwachstelle in der DTLS-Paketumordnung
CVE-2026-42009 HochIn GnuTLS wurde ein Fehler in der Logik zur Umordnung von DTLS-Paketen (Datagram Transport Layer Security) gefunden. Ein entfernter Angreifer kann die Vergleichsfunktion ausnutzen, die für die Reihenfolge der DTLS-Pakete zuständig ist. Da GnuTLS in zahlreiche Linux-Distributionen und Produkte eingebettet ist, sind mehrere Hersteller betroffen (unter anderem Red Hat, Oracle Linux, Rocky Linux, IBM Storage und SAP). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Hersteller-Updates für GnuTLS einspielen.
CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD -
Linux Kernel: netfilter – Use-after-free (nf_tables pipapo-Set)
CVE-2024-0193 HochIm netfilter-Subsystem des Linux-Kernels wurde ein Use-after-free gefunden. Wird das Catchall-Element beim Entfernen des pipapo-Sets per Garbage Collection eingesammelt, kann das Element zweimal deaktiviert werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den vom Distributor bereitgestellten Kernel-Fix einspielen.
CVSS: 7.8 EPSS: 0.14% Publiziert: Referenz: NVD -
SAP BusinessObjects BI Platform – Authentifizierungsumgehung
CVE-2026-0490 HochSAP BusinessObjects BI Platform ermöglicht einem nicht authentifizierten Angreifer, durch einen speziell gestalteten Netzwerkanfrage die Authentifizierung zu umgehen und so legitime Benutzer am Zugriff zu hindern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.12% Publiziert: Referenz: NVD -
SAP – Denial of Service durch unkontrollierten Ressourcenverbrauch
CVE-2026-23689 HochAufgrund einer Schwachstelle durch unkontrollierten Ressourcenverbrauch kann ein authentifizierter Angreifer mit regulären Benutzerrechten und Netzwerkzugang eine remote-fähige Funktion wiederholt aufrufen und so einen Denial-of-Service-Zustand herbeiführen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.7 EPSS: 0.11% Publiziert: Referenz: NVD -
SAP BusinessObjects BI Platform – Denial of Service durch manipulierte Anfragen
CVE-2026-0485 HochSAP BusinessObjects BI Platform erlaubt es einem nicht authentifizierten Angreifer, speziell gestaltete Anfragen zu senden, die zum Absturz des Content Management Servers (CMS) führen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
SAP Solution Tools Plug-In – fehlende Autorisierungsprüfung
CVE-2026-24322 HochDas SAP Solution Tools Plug-In (ST-PI) enthält ein Funktionsmodul, das für authentifizierte Benutzer keine ausreichenden Autorisierungsprüfungen durchführt, wodurch sensible Informationen offengelegt werden können. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.7 EPSS: 0.04% Publiziert: Referenz: NVD -
SAP NetWeaver ABAP – XML Signature Wrapping
CVE-2026-23687 HochIn SAP NetWeaver Application Server ABAP und der ABAP Platform können authentifizierte Angreifer mit normalen Berechtigungen eine gültige signierte Nachricht erlangen und anschliessend manipulierte signierte XML-Dokumente an den Verifizierer senden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
SAP BusinessObjects BI Platform – Stored Cross-Site Scripting
CVE-2026-0508 HochDie SAP BusinessObjects Business Intelligence Platform erlaubt einem authentifizierten Angreifer mit hohen Rechten, eine schädliche URL in die Anwendung einzuschleusen, was zu Cross-Site-Scripting-Angriffen führen kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Unzureichende Header-Validierung im OAuth2-Login des SAP Approuter (CVE-2026-44745)
CVE-2026-44745 HochDer SAP Approuter validiert eingehende Request-Header im OAuth2-Login-Flow unter bestimmten Konfigurationen nicht korrekt. Dadurch kann ein nicht authentifizierter, entfernter Angreifer einen bösartigen Link erstellen, um die Schwachstelle auszunutzen. CVSS-Basiswert: 8.1 (Hoch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.
CVSS: 8.1 Publiziert: Referenz: NVD -
SAP NetWeaver AS Java – Cross-Site-Scripting über präparierte URLs
CVE-2026-44752 HochDer SAP NetWeaver Application Server Java erlaubt es nicht authentifizierten Angreifern, über präparierte URLs schädlichen JavaScript-Code einzuschleusen. Ruft ein Opfer eine solche URL auf, wird das Skript im Browser des Nutzers ausgeführt (Cross-Site-Scripting). Der CVSS-Basiswert liegt bei 8.2 (Hoch). Betroffen sind Produkte von SAP, SuccessFactors (SAP) sowie Java/OpenJDK (Oracle).
CVSS: 8.2 Publiziert: Referenz: NVD -
SAP Change and Transport System (ctsattach): unsichere Verarbeitung präparierter Archive
CVE-2026-58233 HochDas Attach-Tool (ctsattach) des SAP Change and Transport System erlaubt einem authentifizierten Angreifer, eine speziell präparierte Archivdatei einzuschleusen. Wird diese von der Bibliothek der Anwendung verarbeitet, lässt sich eine unsichere Verarbeitung auslösen. CVSS-Basiswert: 7.6 (Hoch). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.
CVSS: 7.6 Publiziert: Referenz: NVD -
GNU C Library (glibc): Use-after-free in getaddrinfo
CVE-2023-4806 MittelIn der GNU C Library (glibc) wurde eine Schwachstelle identifiziert. In einer äusserst seltenen Situation kann die Funktion getaddrinfo auf bereits freigegebenen Speicher zugreifen, was zu einem Absturz der Anwendung führt. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: die von den betroffenen Herstellern und Distributionen bereitgestellte aktualisierte glibc-Version einspielen.
CVSS: 5.9 EPSS: 1.44% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP / ABAP Platform – OS Command Injection
CVE-2026-40135 MittelIm SAP NetWeaver Application Server für ABAP und in der ABAP Platform besteht eine OS-Command-Injection-Schwachstelle. Ein authentifizierter Angreifer mit administrativem Zugriff kann laut Quelle speziell präparierte Befehle ausführen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.5 EPSS: 0.23% Publiziert: Referenz: NVD -
SAP NetWeaver AS Java (Web Dynpro Java): Code-Injection durch nicht authentifizierte Angreifer
CVE-2026-27674 MittelAufgrund einer Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) könnte ein nicht authentifizierter Angreifer präparierte Eingaben liefern, die von der Anwendung interpretiert werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.1 EPSS: 0.08% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: Open Redirect
CVE-2026-34257 MittelAufgrund einer Open-Redirect-Schwachstelle im SAP NetWeaver Application Server ABAP könnte ein nicht authentifizierter Angreifer eine bösartige URL erstellen, die ein Opfer beim Aufruf auf eine andere Seite umleitet. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Den zugehörigen SAP-Security-Patch einspielen.
CVSS: 6.1 EPSS: 0.06% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: Fehlende Autorisierungsprüfung
CVE-2026-24309 MittelAufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server for ABAP könnte ein authentifizierter Angreifer ein bestimmtes ABAP-Funktionsmodul ausführen, um Einträge in der Datenbank zu lesen, zu verändern oder einzufügen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.4 EPSS: 0.05% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: Server-Side Request Forgery über Test-Report
CVE-2026-24316 MittelDer SAP NetWeaver Application Server for ABAP stellt einen ABAP-Report für Testzwecke bereit, der HTTP-Anfragen an beliebige interne oder externe Endpunkte senden kann. Dadurch ist der Report für Server-Side Request Forgery (SSRF) anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: den SAP-Sicherheitshinweis umsetzen und betroffene Komponenten patchen.
CVSS: 6.4 EPSS: 0.04% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP – Fehlende Autorisierungsprüfung
CVE-2026-27688 MittelAufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP kann ein authentifizierter Angreifer mit Benutzerrechten über ein bestimmtes RFC-Funktionsmodul Database-Analyzer-Log-Dateien auslesen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.0 EPSS: 0.04% Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP: Reflected XSS in Business Server Pages
CVE-2026-27682 MittelAufgrund einer Reflected-Cross-Site-Scripting-Schwachstelle (XSS) im SAP NetWeaver Application Server ABAP (auf Business Server Pages basierende Anwendungen) kann ein nicht authentifizierter Angreifer eine präparierte URL erstellen und einem Opfer unterschieben. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.7 EPSS: 0.02% Publiziert: Referenz: NVD -
SAP NetWeaver Enterprise Portal – Reflected Cross-Site Scripting
CVE-2026-44759 MittelSAP NetWeaver Enterprise Portal erlaubt einem nicht authentifizierten Angreifer, über einen URL-Parameter Schadskripte einzuschleusen. Die Skripte werden in der Serverantwort reflektiert und im Browser des Opfers ausgeführt (Reflected Cross-Site Scripting). CVSS-Basiswert: 6.1 (Mittel). Empfohlene Massnahme: Herstellerhinweise beachten und verfügbare Aktualisierungen einspielen.
CVSS: 6.1 Publiziert: Referenz: NVD -
SAP NetWeaver AS ABAP (Business Server Pages): Reflected Cross-Site Scripting
CVE-2026-44760 MittelAnwendungen auf Basis des Business-Server-Pages-Frameworks im SAP NetWeaver Application Server ABAP spiegeln ungeprüfte Eingaben in die HTTP-Antwort zurück, was eine Cross-Site-Scripting-Schwachstelle ermöglicht. CVSS-Basiswert: 4.7 (Mittel). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.
CVSS: 4.7 Publiziert: Referenz: NVD -
SAP – setThemeRoot() umgeht die Theme-Origin-Allowlist
CVE-2026-44767 MittelDie Funktion setThemeRoot() erzwingt die Allowlist sap-allowed-theme-origins nicht. Eine vom Angreifer kontrollierte, absolute Cross-Origin-URL kann gespeichert und direkt zum Aufbau eines Stylesheet-Verweises verwendet werden. CVSS-Basiswert: 6.1 (Mittel).
CVSS: 6.1 Publiziert: Referenz: NVD -
CVE-2026-44768 – Fehlende Content Security Policy im SAP CRM WebClient UI
CVE-2026-44768 MittelDas SAP CRM WebClient UI erlaubt einem Angreifer aufgrund einer fehlenden Content-Security-Policy-Konfiguration für bestimmte eingeschränkte Bereiche, schädliche Skripte im Kontext der Anwendung einzuschleusen und auszuführen. CVSS-Basiswert: 4.1 (Mittel).
CVSS: 4.1 Publiziert: Referenz: NVD -
SAP S/4HANA PPM-PRO – SQL-Injection im Projektmanagement
CVE-2026-44769 MittelIn der Projektmanagement-Komponente (PPM-PRO) der SAP-S/4HANA-Anwendung können Angreifer mit hohen Berechtigungen präparierte Datenbankabfragen ausführen und so die Backend-Datenbank offenlegen. Der CVSS-Basiswert liegt bei 5.5 (Mittel). Betroffen sind Produkte von SAP und SuccessFactors (SAP).
CVSS: 5.5 Publiziert: Referenz: NVD -
SAP Create Single Payment: Fehlende Autorisierungsprüfung
CVE-2026-44770 MittelSAP Create Single Payment führt für einen authentifizierten Benutzer nicht die erforderlichen Autorisierungsprüfungen durch. Ein eingeschränkter Benutzer könnte auf bestimmte Entity-Set-Schlüssel zugreifen, was zur Offenlegung von Informationen führt. CVSS-Basiswert: 4.3 (Mittel).
CVSS: 4.3 Publiziert: Referenz: NVD -
Fehlende Berechtigungsprüfung in SAP S/4HANA Draft-Operation (CVE-2026-44771)
CVE-2026-44771 MittelDie Draft-Operation von SAP S/4HANA führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch. Ein eingeschränkter Benutzer könnte dadurch auf Informationen innerhalb der Entität zugreifen, was zu einer Rechteausweitung führt. CVSS-Basiswert: 4.3 (Mittel). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.
CVSS: 4.3 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für SuccessFactors (SAP), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.