<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: SAP</title>
    <link>https://feed.xonatec.ch/produkte/sap</link>
    <description>Priorisierte Schwachstellen-Reports für SAP. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/sap.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-31431 — Linux Kernel – Incorrect Resource Transfer Between Spheres (Copy Fail)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-31431</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-31431</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde eine Schwachstelle in der Krypto-Schicht (algif_aead) identifiziert, die durch eine fehlerhafte Ressourcenübertragung zwischen Sicherheitsbereichen ausgelöst wird (&quot;Copy Fail&quot;). CVSS-Basiswert: 7.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.3 %. 3 Produkt(e) betroffen, 1 mit Fix. Ein manuell erfasster Community-Beitrag (r/cybersecurity) datiert die KEV-Aufnahme auf den 2026-05-01 und verweist auf die &quot;Copy Fail&quot;-Analyse von Theori, die den Fehler der In-place-Verarbeitung von AF_ALG/AEAD zuordnet; als besonders exponiert gelten dort geteilte CI-Runner, Kubernetes-Knoten und mandantenfähige Linux-Hosts. Empfohlene Massnahme: Kernel-Patchstand nachweisen oder die Nutzung von AF_ALG einschränken.

Severity: Hoch · CVSS: 7.8 · EPSS: 96.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: asustor, fastly, fortinet, ge-healthcare, kunbus, mitel, moxa, synology, ubuntu-usn, amazon-linux-alas, oracle-linux-elsa, rocky-linux, red-hat-openshift-rhev, debian-dsa, suse-opensuse, hpe-storage, ibm-storage, pure-storage, openstack, sap, successfactors-sap</description>
      <category>Hoch</category><category>KEV</category><category>Asustor</category><category>Fastly</category><category>Fortinet</category><category>GE HealthCare</category><category>KUNBUS</category><category>Mitel</category><category>Moxa</category><category>Synology</category><category>Ubuntu (USN)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Red Hat (OpenShift/RHEV)</category><category>Debian (DSA)</category><category>SUSE/openSUSE</category><category>HPE Storage</category><category>IBM Storage</category><category>Pure Storage</category><category>OpenStack</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2022-0492 — Linux Kernel – Improper Authentication in cgroup_release_agent_write</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-0492</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-0492</guid>
      <pubDate>Mon, 13 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde in der Funktion cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) eine Schwachstelle durch fehlerhafte Authentifizierung identifiziert, die unter bestimmten Umständen den Missbrauch des release_agent-Mechanismus von cgroups v1 erlaubt. CVSS-Basiswert: 7.8 (Hoch), Vektor CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – die Ausnutzung setzt lokalen Zugriff mit niedrigen Rechten voraus, wirkt sich dann aber auf Vertraulichkeit, Integrität und Verfügbarkeit voll aus. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2026-06-02. Ausnutzungswahrscheinlichkeit (EPSS): 28.1 %. Die Schwachstelle betrifft eine breite Palette von Distributionen und Appliances, die den Linux-Kernel einsetzen – darunter Debian, Ubuntu, Fedora, Rocky Linux, Amazon Linux und Oracle Linux sowie Storage- und Applikationsplattformen von NetApp, IBM, HPE, Pure Storage und SAP.

Severity: Hoch · CVSS: 7.8 · EPSS: 28.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: netapp, node-js, amazon-linux-alas, oracle-linux-elsa, rocky-linux, debian-dsa, ibm-storage, sap, successfactors-sap, ubuntu-usn, fedora, hpe-storage, pure-storage</description>
      <category>Hoch</category><category>KEV</category><category>NetApp</category><category>Node.js</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Debian (DSA)</category><category>IBM Storage</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Ubuntu (USN)</category><category>Fedora</category><category>HPE Storage</category><category>Pure Storage</category>
    </item>
    <item>
      <title>🔴 CVE-2020-6287 — SAP NetWeaver – Fehlende Authentifizierung für kritische Funktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-6287</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-6287</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver weist eine fehlende Authentifizierung für kritische Funktionen auf. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2020-6207 — SAP Solution Manager – Fehlende Authentifizierung für kritische Funktion</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-6207</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-6207</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP Solution Manager weist eine fehlende Authentifizierung für kritische Funktionen auf, die es Angreifern ermöglicht, unbefugt auf solche zuzugreifen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.

Severity: Aktiv ausgenutzt · EPSS: 94.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2022-22536 — SAP – HTTP Request Smuggling in mehreren Produkten</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-22536</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-22536</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Mehrere SAP-Produkte sind von einer HTTP-Request-Smuggling-Schwachstelle betroffen, die Angreifer ausnutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

Severity: Aktiv ausgenutzt · EPSS: 93.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2017-12637 — SAP NetWeaver: Directory Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-12637</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-12637</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.4 %.

Severity: Aktiv ausgenutzt · EPSS: 93.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2021-38163 — SAP NetWeaver – Uneingeschränkter Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-38163</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-38163</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was Angreifer für die Ausführung von Schadcode nutzen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.5 %.

Severity: Aktiv ausgenutzt · EPSS: 83.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2016-3976 — SAP NetWeaver: Directory Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-3976</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-3976</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine Directory-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 76.3 %.

Severity: Aktiv ausgenutzt · EPSS: 76.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2016-2388 — SAP NetWeaver: Informationsoffenlegung</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-2388</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-2388</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine Schwachstelle zur Offenlegung von Informationen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 67.8 %.

Severity: Aktiv ausgenutzt · EPSS: 67.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2016-9563 — SAP NetWeaver: XML External Entity (XXE)</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-9563</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-9563</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine XML External Entity (XXE)-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 58.8 %.

Severity: Aktiv ausgenutzt · EPSS: 58.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2018-2380 — SAP CRM: Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-2380</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-2380</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP Customer Relationship Management (CRM) wurde eine Path-Traversal-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 48.8 %.

Severity: Aktiv ausgenutzt · EPSS: 48.8% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2016-2386 — SAP NetWeaver: SQL Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-2386</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-2386</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine SQL-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 44.5 %.

Severity: Aktiv ausgenutzt · EPSS: 44.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2025-31324 — SAP NetWeaver – Uneingeschränkter Datei-Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-31324</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-31324</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver ermöglicht das uneingeschränkte Hochladen von Dateien, was zur Ausführung von Schadcode ausgenutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 43.7 %.

Severity: Aktiv ausgenutzt · EPSS: 43.7% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2019-0344 — SAP Commerce Cloud – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-0344</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-0344</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP Commerce Cloud besteht eine Schwachstelle durch die Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 40.2 %.

Severity: Aktiv ausgenutzt · EPSS: 40.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap, magento-adobe-commerce</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Magento/Adobe Commerce</category>
    </item>
    <item>
      <title>🔴 CVE-2025-42999 — SAP NetWeaver – Deserialisierungsschwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-42999</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-42999</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver besteht eine Schwachstelle durch unsichere Deserialisierung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 38.6 %.

Severity: Aktiv ausgenutzt · EPSS: 38.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>🔴 CVE-2010-5326 — SAP NetWeaver: Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2010-5326</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2010-5326</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver wurde eine Schwachstelle identifiziert, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 13.2 %.

Severity: Aktiv ausgenutzt · EPSS: 13.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27690 — HTTP Request Smuggling in SAP Approuter (CVE-2026-27690)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27690</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27690</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine HTTP-Request-Smuggling-Schwachstelle im SAP Approuter erlaubt es einem nicht authentifizierten Angreifer, eine speziell präparierte HTTP-Anfrage zu senden, die zu einer Desynchronisation zwischen Anfrage und Antwort führt. CVSS-Basiswert: 9.1 (Kritisch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.5%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-40128 — SAP NetWeaver AS Java – Path Traversal durch manipulierte File-Inclusion-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40128</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40128</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP NetWeaver Application Server Java (Web Container) erlaubt laut NVD einem nicht authentifizierten Angreifer, eine bösartige HTTP-Logon-Anfrage zu erstellen, die File-Inclusion-Parameter manipuliert und so Path Traversal ermöglicht. Der Angriff ist netzwerkbasiert bei hoher Angriffskomplexität und mit geändertem Berechtigungsumfang (Scope Changed) möglich. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.5%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-44747 — SAP NetWeaver AS ABAP – Speicherkorruption durch fehlerhafte Speicherverwaltung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44747</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44747</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im SAP NetWeaver Application Server ABAP können authentifizierte Angreifer logische Fehler in der Speicherverwaltung ausnutzen und dadurch eine Speicherkorruption herbeiführen. In der Folge sind unbefugter Datenzugriff sowie die Veränderung von Daten möglich. Der CVSS-Basiswert liegt bei 9.9 (Kritisch). Betroffen sind Produkte von SAP und SuccessFactors (SAP).

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27671 — SAP NetWeaver AS ABAP: fehlerhafte RFC-Protokollvalidierung im SAP Kernel</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27671</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27671</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Durch eine fehlerhafte Validierung des RFC-Protokolls im SAP Kernel, der vom Application Server ABAP von SAP NetWeaver und der ABAP Platform genutzt wird, kann ein nicht authentifizierter Angreifer eine präparierte RFC-Anfrage senden und damit die Schwachstelle ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44761 — SAP Commerce Cloud: öffentlich dokumentierte Sample-OAuth2-Zugangsdaten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44761</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44761</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In SAP Commerce Cloud kann ein aus der Beispielkonfiguration der SAP-Help-Portal-Dokumentation stammender Sample-OAuth2-Client erhalten bleiben. Bleibt er unverändert, lassen sich die öffentlich dokumentierten Beispiel-Zugangsdaten missbrauchen, um sich unbefugt zu authentisieren. CVSS-Basiswert: 9.1 (Kritisch). Empfohlene Massnahme: die aus der Beispielkonfiguration übernommenen OAuth2-Client-Zugangsdaten prüfen und ändern bzw. den Sample-Client entfernen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: sap, successfactors-sap, magento-adobe-commerce</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Magento/Adobe Commerce</category>
    </item>
    <item>
      <title>CVE-2026-44748 — SAP NetWeaver AS ABAP: Manipulation signierter XML-Dokumente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44748</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44748</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver Application Server ABAP und die ABAP Platform erlauben es einem authentifizierten Angreifer mit normalen Berechtigungen, eine gültige signierte Nachricht zu erlangen und modifizierte signierte XML-Dokumente an den Verifier zu senden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Den zugehörigen SAP-Sicherheitshinweis prüfen und den Patch einspielen.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-0488 — SAP CRM und S/4HANA – Ausführung nicht autorisierter kritischer Funktionen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0488</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0488</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein authentifizierter Angreifer in SAP CRM und SAP S/4HANA (Scripting Editor) kann eine Schwachstelle in einem generischen Funktionsbaustein ausnutzen, um nicht autorisierte kritische Funktionen auszuführen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-0509 — SAP NetWeaver ABAP – Umgehung der RFC-Autorisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0509</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0509</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver Application Server ABAP und ABAP Platform ermöglicht einem authentifizierten Nutzer mit niedrigen Rechten, Hintergrund-Remote-Function-Calls ohne die erforderliche S_RFC-Autorisierung durchzuführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44745 — Unzureichende Header-Validierung im OAuth2-Login des SAP Approuter (CVE-2026-44745)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44745</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44745</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP Approuter validiert eingehende Request-Header im OAuth2-Login-Flow unter bestimmten Konfigurationen nicht korrekt. Dadurch kann ein nicht authentifizierter, entfernter Angreifer einen bösartigen Link erstellen, um die Schwachstelle auszunutzen. CVSS-Basiswert: 8.1 (Hoch). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.3%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-58233 — SAP Change and Transport System (ctsattach): unsichere Verarbeitung präparierter Archive</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58233</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58233</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Attach-Tool (ctsattach) des SAP Change and Transport System erlaubt einem authentifizierten Angreifer, eine speziell präparierte Archivdatei einzuschleusen. Wird diese von der Bibliothek der Anwendung verarbeitet, lässt sich eine unsichere Verarbeitung auslösen. CVSS-Basiswert: 7.6 (Hoch). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.

Severity: Hoch · CVSS: 7.6 · EPSS: 0.3%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-42009 — GnuTLS – Schwachstelle in der DTLS-Paketumordnung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42009</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42009</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GnuTLS wurde ein Fehler in der Logik zur Umordnung von DTLS-Paketen (Datagram Transport Layer Security) gefunden. Ein entfernter Angreifer kann die Vergleichsfunktion ausnutzen, die für die Reihenfolge der DTLS-Pakete zuständig ist. Da GnuTLS in zahlreiche Linux-Distributionen und Produkte eingebettet ist, sind mehrere Hersteller betroffen (unter anderem Red Hat, Oracle Linux, Rocky Linux, IBM Storage und SAP). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: verfügbare Hersteller-Updates für GnuTLS einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: red-hat-openshift-rhev, amazon-linux-alas, oracle-linux-elsa, rocky-linux, ibm-storage, sap, successfactors-sap</description>
      <category>Hoch</category><category>Red Hat (OpenShift/RHEV)</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>IBM Storage</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44752 — SAP NetWeaver AS Java – Cross-Site-Scripting über präparierte URLs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44752</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44752</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP NetWeaver Application Server Java erlaubt es nicht authentifizierten Angreifern, über präparierte URLs schädlichen JavaScript-Code einzuschleusen. Ruft ein Opfer eine solche URL auf, wird das Skript im Browser des Nutzers ausgeführt (Cross-Site-Scripting). Der CVSS-Basiswert liegt bei 8.2 (Hoch). Betroffen sind Produkte von SAP, SuccessFactors (SAP) sowie Java/OpenJDK (Oracle).

Severity: Hoch · CVSS: 8.2 · EPSS: 0.3%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2024-0193 — Linux Kernel: netfilter – Use-after-free (nf_tables pipapo-Set)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-0193</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-0193</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im netfilter-Subsystem des Linux-Kernels wurde ein Use-after-free gefunden. Wird das Catchall-Element beim Entfernen des pipapo-Sets per Garbage Collection eingesammelt, kann das Element zweimal deaktiviert werden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den vom Distributor bereitgestellten Kernel-Fix einspielen.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.1%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, ibm-storage, sap, successfactors-sap</description>
      <category>Hoch</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>IBM Storage</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-0490 — SAP BusinessObjects BI Platform – Authentifizierungsumgehung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0490</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0490</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP BusinessObjects BI Platform ermöglicht einem nicht authentifizierten Angreifer, durch einen speziell gestalteten Netzwerkanfrage die Authentifizierung zu umgehen und so legitime Benutzer am Zugriff zu hindern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-23689 — SAP – Denial of Service durch unkontrollierten Ressourcenverbrauch</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23689</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23689</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer Schwachstelle durch unkontrollierten Ressourcenverbrauch kann ein authentifizierter Angreifer mit regulären Benutzerrechten und Netzwerkzugang eine remote-fähige Funktion wiederholt aufrufen und so einen Denial-of-Service-Zustand herbeiführen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-0485 — SAP BusinessObjects BI Platform – Denial of Service durch manipulierte Anfragen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0485</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0485</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>SAP BusinessObjects BI Platform erlaubt es einem nicht authentifizierten Angreifer, speziell gestaltete Anfragen zu senden, die zum Absturz des Content Management Servers (CMS) führen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-24322 — SAP Solution Tools Plug-In – fehlende Autorisierungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24322</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24322</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das SAP Solution Tools Plug-In (ST-PI) enthält ein Funktionsmodul, das für authentifizierte Benutzer keine ausreichenden Autorisierungsprüfungen durchführt, wodurch sensible Informationen offengelegt werden können. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-23687 — SAP NetWeaver ABAP – XML Signature Wrapping</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23687</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23687</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SAP NetWeaver Application Server ABAP und der ABAP Platform können authentifizierte Angreifer mit normalen Berechtigungen eine gültige signierte Nachricht erlangen und anschliessend manipulierte signierte XML-Dokumente an den Verifizierer senden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-0508 — SAP BusinessObjects BI Platform – Stored Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0508</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0508</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die SAP BusinessObjects Business Intelligence Platform erlaubt einem authentifizierten Angreifer mit hohen Rechten, eine schädliche URL in die Anwendung einzuschleusen, was zu Cross-Site-Scripting-Angriffen führen kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2023-4806 — GNU C Library (glibc): Use-after-free in getaddrinfo</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-4806</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-4806</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der GNU C Library (glibc) wurde eine Schwachstelle identifiziert. In einer äusserst seltenen Situation kann die Funktion getaddrinfo auf bereits freigegebenen Speicher zugreifen, was zu einem Absturz der Anwendung führt. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %. Empfohlene Massnahme: die von den betroffenen Herstellern und Distributionen bereitgestellte aktualisierte glibc-Version einspielen.

Severity: Mittel · CVSS: 5.9 · EPSS: 1.4%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, ibm-storage, sap, successfactors-sap, fedora</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>IBM Storage</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Fedora</category>
    </item>
    <item>
      <title>CVE-2026-40135 — SAP NetWeaver AS ABAP / ABAP Platform – OS Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40135</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40135</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im SAP NetWeaver Application Server für ABAP und in der ABAP Platform besteht eine OS-Command-Injection-Schwachstelle. Ein authentifizierter Angreifer mit administrativem Zugriff kann laut Quelle speziell präparierte Befehle ausführen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44769 — SAP S/4HANA PPM-PRO – SQL-Injection im Projektmanagement</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44769</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44769</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Projektmanagement-Komponente (PPM-PRO) der SAP-S/4HANA-Anwendung können Angreifer mit hohen Berechtigungen präparierte Datenbankabfragen ausführen und so die Backend-Datenbank offenlegen. Der CVSS-Basiswert liegt bei 5.5 (Mittel). Betroffen sind Produkte von SAP und SuccessFactors (SAP).

Severity: Mittel · CVSS: 5.5 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44767 — SAP – setThemeRoot() umgeht die Theme-Origin-Allowlist</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44767</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44767</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Funktion setThemeRoot() erzwingt die Allowlist sap-allowed-theme-origins nicht. Eine vom Angreifer kontrollierte, absolute Cross-Origin-URL kann gespeichert und direkt zum Aufbau eines Stylesheet-Verweises verwendet werden. CVSS-Basiswert: 6.1 (Mittel).

Severity: Mittel · CVSS: 6.1 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44759 — SAP NetWeaver Enterprise Portal – Reflected Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44759</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44759</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>SAP NetWeaver Enterprise Portal erlaubt einem nicht authentifizierten Angreifer, über einen URL-Parameter Schadskripte einzuschleusen. Die Skripte werden in der Serverantwort reflektiert und im Browser des Opfers ausgeführt (Reflected Cross-Site Scripting). CVSS-Basiswert: 6.1 (Mittel). Empfohlene Massnahme: Herstellerhinweise beachten und verfügbare Aktualisierungen einspielen.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44771 — Fehlende Berechtigungsprüfung in SAP S/4HANA Draft-Operation (CVE-2026-44771)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44771</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44771</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Draft-Operation von SAP S/4HANA führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch. Ein eingeschränkter Benutzer könnte dadurch auf Informationen innerhalb der Entität zugreifen, was zu einer Rechteausweitung führt. CVSS-Basiswert: 4.3 (Mittel). Betroffen sind SAP-Produkte, darunter SuccessFactors (SAP). Empfohlene Massnahme: verfügbare Hersteller-Updates von SAP einspielen.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44770 — SAP Create Single Payment: Fehlende Autorisierungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44770</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44770</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>SAP Create Single Payment führt für einen authentifizierten Benutzer nicht die erforderlichen Autorisierungsprüfungen durch. Ein eingeschränkter Benutzer könnte auf bestimmte Entity-Set-Schlüssel zugreifen, was zur Offenlegung von Informationen führt. CVSS-Basiswert: 4.3 (Mittel).

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44768 — CVE-2026-44768 – Fehlende Content Security Policy im SAP CRM WebClient UI</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44768</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44768</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das SAP CRM WebClient UI erlaubt einem Angreifer aufgrund einer fehlenden Content-Security-Policy-Konfiguration für bestimmte eingeschränkte Bereiche, schädliche Skripte im Kontext der Anwendung einzuschleusen und auszuführen. CVSS-Basiswert: 4.1 (Mittel).

Severity: Mittel · CVSS: 4.1 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44760 — SAP NetWeaver AS ABAP (Business Server Pages): Reflected Cross-Site Scripting</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44760</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44760</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Anwendungen auf Basis des Business-Server-Pages-Frameworks im SAP NetWeaver Application Server ABAP spiegeln ungeprüfte Eingaben in die HTTP-Antwort zurück, was eine Cross-Site-Scripting-Schwachstelle ermöglicht. CVSS-Basiswert: 4.7 (Mittel). Empfohlene Massnahme: den von SAP bereitgestellten Patch einspielen.

Severity: Mittel · CVSS: 4.7 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27674 — SAP NetWeaver AS Java (Web Dynpro Java): Code-Injection durch nicht authentifizierte Angreifer</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27674</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27674</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) könnte ein nicht authentifizierter Angreifer präparierte Eingaben liefern, die von der Anwendung interpretiert werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-34257 — SAP NetWeaver AS ABAP: Open Redirect</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34257</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34257</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer Open-Redirect-Schwachstelle im SAP NetWeaver Application Server ABAP könnte ein nicht authentifizierter Angreifer eine bösartige URL erstellen, die ein Opfer beim Aufruf auf eine andere Seite umleitet. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Den zugehörigen SAP-Security-Patch einspielen.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-24309 — SAP NetWeaver AS ABAP: Fehlende Autorisierungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24309</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24309</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server for ABAP könnte ein authentifizierter Angreifer ein bestimmtes ABAP-Funktionsmodul ausführen, um Einträge in der Datenbank zu lesen, zu verändern oder einzufügen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-24316 — SAP NetWeaver AS ABAP: Server-Side Request Forgery über Test-Report</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24316</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24316</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP NetWeaver Application Server for ABAP stellt einen ABAP-Report für Testzwecke bereit, der HTTP-Anfragen an beliebige interne oder externe Endpunkte senden kann. Dadurch ist der Report für Server-Side Request Forgery (SSRF) anfällig. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: den SAP-Sicherheitshinweis umsetzen und betroffene Komponenten patchen.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27688 — SAP NetWeaver AS ABAP – Fehlende Autorisierungsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27688</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27688</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP kann ein authentifizierter Angreifer mit Benutzerrechten über ein bestimmtes RFC-Funktionsmodul Database-Analyzer-Log-Dateien auslesen. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 5 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27682 — SAP NetWeaver AS ABAP: Reflected XSS in Business Server Pages</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27682</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27682</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer Reflected-Cross-Site-Scripting-Schwachstelle (XSS) im SAP NetWeaver Application Server ABAP (auf Business Server Pages basierende Anwendungen) kann ein nicht authentifizierter Angreifer eine präparierte URL erstellen und einem Opfer unterschieben. CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 4.7 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-44753 — Benutzer-Enumeration in SAP HANA Database (User Self Service)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44753</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44753</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die SAP HANA Database (User-Self-Service-Werkzeuge) erlaubt einem nicht authentifizierten Nutzer, speziell präparierte Anfragen zu senden, die unterscheidbare Antworten erzeugen. Dadurch lassen sich gültige Benutzerkonten aufzählen. CVSS-Basiswert: 3.7 (Niedrig).

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Niedrig</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-24310 — SAP NetWeaver AS ABAP: Fehlende Autorisierungsprüfung (Informationspreisgabe)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24310</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24310</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer fehlenden Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP könnte ein authentifizierter Angreifer ein bestimmtes ABAP-Funktionsmodul ausführen und sensible Informationen aus der Datenbank auslesen. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Entsprechenden SAP-Sicherheitshinweis (Patch) einspielen.

Severity: Niedrig · CVSS: 3.5 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Niedrig</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
    <item>
      <title>CVE-2026-27680 — CVE-2026-27680 – CSS-Injection in SAP NetWeaver AS ABAP (SAP)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27680</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27680</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer unsauberen Eingabeverarbeitung erlaubt der SAP NetWeaver Application Server ABAP unter bestimmten Bedingungen einem Angreifer, eigene Cascading-Style-Sheets-(CSS-)Daten in eine von der Anwendung ausgelieferte Webseite einzuschleusen. CVSS-Basiswert: 3.1 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: verfügbare SAP-Sicherheitsupdates einspielen.

Severity: Niedrig · CVSS: 3.1 · EPSS: 0.0%

Betroffene Produkte: sap, successfactors-sap</description>
      <category>Niedrig</category><category>SAP</category><category>SuccessFactors (SAP)</category>
    </item>
  </channel>
</rss>
