Benutzer können SAP BW manipulieren | SAP Security Patchday April 2026
Autor: Tobias Harmes | 15. April 2026
Der SAP Security Patchday im April war am 14.04.2026. Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday aktuelle SAP Security Notes. Dieses Mal sind es 19 neue Security-Hinweise und ein Hinweis-Update. Kritischste Lücke betrifft diesmal unter anderem das SAP Business Warehouse.
Der April 2026 hat einen Hinweis mit der Einstufung „CRITICAL“ (auch als „Hot News“ bekannt) für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind.
Benutzer können SAP Business Warehouse manipulieren
Der SAP-Hinweis 3719353 – [CVE-2026-27681] SQL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse behebt eine kritische SQL-Injection-Schwachstelle. Ursache sind unzureichende Berechtigungsprüfungen in der Upload-Funktionalität eines ABAP-Programms, wodurch authentifizierte Benutzer präparierte SQL-Statements ausführen und Daten lesen, verändern oder löschen können. SAP bewertet die Lücke entsprechend mit einem hohen CVSS von 9,9/10.
Als temporären Workaround empfiehlt SAP das Berechtigungsobjekt S_GUI mit Aktivität 60 (Upload) für Benutzerkonten zu entziehen. Die dauerhafte Behebung erfolgt über die im Hinweis genannten Korrekturanleitungen beziehungsweise Support Packages. Dabei wird der ausführbare Code im betroffenen ABAP-Programm deaktiviert.
Weitere Details und die offiziellen Korrekturen stehen im Hinweis 3719353 – [CVE-2026-27681] SQL Injection vulnerability in SAP Business Planning and Consolidation and SAP Business Warehouse.
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – April 2026
- AK Security & Vulnerability Management AK
- Online-Session: “Diskussion zu ausgewählten SAP Security Notes” ab dem 23.04.2025
- Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter „Security Patch Day“)
- Java Portal und ein wenig Log4j l | SAP Security Patchday März 2026
Demnächst…
29.04.2026 | Live-Webinar „Nach S/4HANA Go-Live: Berechtigungskonzept in S/4HANA & Fiori überarbeiten“
Nach dem S/4HANA Go-Live tauchen sie oft erst richtig auf: kritische Berechtigungen, Audit-Findings und unerwartet hohe Lizenzkosten durch berechtigungsbasierte Lizensierung. In diesem Webinar zeigen wir anhand realer Kundenbeispiele, welche Probleme typischerweise entstehen, wie wir sie gelöst haben und welche 5 Maßnahmen Sie einsetzen können, um das zu vermeiden.
Mehr Informationen und Anmeldung
06.05.2026 | Expertenforum in Heidelberg „S/4HANA Security & Berechtigungen: sicher vor und nach dem Go-Live“
Bei diesem Event zeigen wir praxisnah, wie Sie Berechtigungskonzepte sauber vorbereiten, den S/4HANA-Betrieb wirksam absichern und in den Masterclasses einen konkreten, umsetzbaren Plan plus Security-Check für Ihre S/4HANA-Umgebung mitnehmen. Nutzen Sie die Gelegenheit, sich mit Fachleuten auszutauschen und neue Impulse zu gewinnen.
Mehr Informationen und Anmeldung
