SAML-Anmeldung ausgetrickst | SAP Security Patchday Juni 2026

Auf der Support-Seite von SAP findet man die Security Patch Day Details für Juni 2026. Updates zu früheren Hinweisen gab es diesmal keine.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

1. https://me.sap.com/securitynotes aufrufen (S-User erforderlich)
2. Optional: den CVSS-Score auf 8 bis 10 einstellen, je nach Schutzbedarf
3. Spalte „Freigegeben am” finden und dort alle Einträge seit dem letzten Patchday studieren. Die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind.

Eine Besonderheit diesen Monat: Zwischen CVSS 8.0 und 9.0 liegt kein einziger Hinweis. Die vier kritischen Hot News sind also gleichzeitig alles, was die 8.0-Schwelle überschreitet.

Einordnung

Vier Hot News in einem Monat sind ungewöhnlich viel. Für die meisten Bestandskunden stehen die beiden ABAP-Hinweise vorn: Das SAML-Signature-Wrapping (3746332) und die Kernel-Memory-Corruption (3717897) treffen NetWeaver AS ABAP direkt und sollten prioritär eingeplant werden. Die Kernel-Lücke ist sogar ohne Anmeldung ausnutzbar und hat keinen Workaround. Wer Commerce Cloud, Data Hub oder einen AS-Java-Stack betreibt, prüft zusätzlich die Hinweise 3748262 und 3727078.

SAML-Authentifizierung in SAP NetWeaver AS ABAP: Signaturen austricksbar

Der Hinweis 3746332 – [CVE-2026-44748] XML Signature Wrapping in SAML Authentication in SAP NetWeaver AS ABAP and ABAP Platform betrifft die SAML-Authentifizierung. Ein authentifizierter Angreifer mit normalen Berechtigungen kann sich eine gültig signierte Nachricht beschaffen und anschließend manipulierte, aber weiterhin als signiert akzeptierte XML-Dokumente an den Verifier schicken. Das System akzeptiert dann gefälschte Identitätsinformationen. Möglich werden so ein unberechtigter Zugriff auf sensible Benutzerdaten und sogar Störungen des regulären Betriebs.

SAP bewertet die Lücke mit CVSS 9.9/10 (Critical). Als temporären Workaround nennt SAP die Deaktivierung der SAML-Authentifizierung. Die dauerhafte Abhilfe liefern die im Hinweis genannten Support Packages bzw. Korrekturanleitungen. Dabei ist eine Vorbedingung über Hinweis 3748905 zu beachten. Details: https://me.sap.com/notes/3746332/E

SAP Kernel (AS ABAP): Speicher per RFC überschreiben ohne Anmeldung

Der Hinweis 3717897 – [CVE-2026-27671] Memory Corruption vulnerability in Application Server ABAP of SAP NetWeaver and ABAP Platform betrifft den SAP Kernel. Wegen einer unzureichenden Prüfung des RFC-Protokolls kann ein nicht authentifizierter Angreifer eine präparierte RFC-Anfrage senden. Diese nutzt Logikfehler in der Speicherverwaltung aus und löst eine Memory Corruption in Form eines Buffer- oder Heap-Overflows aus. Vertraulichkeit, Integrität und Verfügbarkeit sind dabei stark betroffen.

SAP bewertet die Lücke mit CVSS 9.8/10 (Critical). Einen Workaround gibt es nicht. Abhilfe schafft allein der im Hinweis genannte Kernel-Patch. Details: https://me.sap.com/notes/3717897/E

SAP Commerce Cloud & Data Hub: fehlende Security-Header durch Spring Security

Der Hinweis 3748262 – [CVE-2026-22732] Potential Spring Security vulnerability within SAP Commerce Cloud and SAP Data Hub betrifft eine anfällige Spring-Security-Version. Unter bestimmten Bedingungen schreibt Spring Security wichtige HTTP-Security-Header nicht, bevor die Antwort an den Client geht. Das wirkt sich stark auf Vertraulichkeit und Integrität aus, während die Verfügbarkeit unberührt bleibt.

SAP bewertet die Lücke mit CVSS 9.1/10 (Critical). Einen Workaround, der das Anwendungsverhalten nicht verändert, gibt es nicht. Abhilfe schaffen die im Hinweis genannten Patch-Releases, die anschließend gebaut und deployt werden müssen. Details: https://me.sap.com/notes/3748262/E

SAP NetWeaver AS Java (Web Container): Dateien per Directory-Traversal unterschieben

Der Hinweis 3727078 – [CVE-2026-40128] Directory Traversal vulnerability in SAP NetWeaver Application Server Java (Web Container) betrifft den Web Container. Ein nicht authentifizierter Angreifer kann über eine präparierte HTTP-Logon-Anfrage die Parameter zur Datei-Einbindung manipulieren. So lässt sich per Directory-Traversal eine eingeschleuste Datei verarbeiten. Auf diesem Weg kann der Angreifer sensible Informationen lesen oder verändern oder Teile des Systems lahmlegen.

SAP bewertet die Lücke mit CVSS 9.0/10 (Critical). Der Angriff ist allerdings technisch anspruchsvoll, da SAP die Attack Complexity als hoch einstuft. Einen Workaround gibt es nicht. Abhilfe schaffen die im Hinweis genannten Support Packages und Patches. Details: https://me.sap.com/notes/3727078/E

Unterlagen und Links

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Diesen Monat sind das genau die vier Hot News. Bitte schaut selbst nach, ob für eure Systemumgebung und euren Schutzbedarf nicht vielleicht doch noch etwas darunter dabei ist.

• Alle Hinweise aus diesem Patchday: SAP Security Patch Day – Juni 2026
• AK Security & Vulnerability Management AK
• Online-Session: „Diskussion zu ausgewählten SAP Security Notes“ (ab 18.06.2026)
• Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter „Security Patch Day“)
• S/4HANA Suche ist zu offen | SAP Security Patchday Mai 2026

Demnächst…

24.06.2026 | Live-Webinar: Sichere SAP BTP: Vom Assessment zum Security-Konzept
In diesem Webinar erfahren Sie, warum SAP BTP Security nicht erst beim Go-live relevant wird, sondern bereits bei der ersten Nutzung von Services, Schnittstellen und Subaccounts mitgedacht werden sollte. Anhand praxisnaher Kundenbeispiele zeigen wir, wie ein BTP Security Assessment Transparenz über den Status quo schafft und wie daraus ein belastbarer Security-Fahrplan entsteht.
Jetzt anmelden

15.09.2026 | Expertenforum in Frankfurt: SAP S/4HANA und BTP: Berechtigungen, Lizenzen und Security
S/4HANA, RISE und SAP BTP stellen Unternehmen vor neue Herausforderungen bei Berechtigungen, Lizenzen und Security. Bei diesem Networking Event in Frankfurt erfahren Sie, wie Sie Kostenpotenziale erkennen, Berechtigungskonzepte optimieren und Ihre SAP-Landschaft sicher aufstellen. Freuen Sie sich auf praxisnahe Vorträge, interaktive Masterclasses und den Austausch mit anderen SAP Security- und Berechtigungsverantwortlichen.
Jetzt anmelden