SAP Commerce Cloud & NetWeaver: mehrere kritische Sicherheitslücken (CVE-2026-44761, CVE-2026-44747, CVE-2026-27690)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 14.07.2026: Zusätzlich wurden CVE-2026-44747 und CVE-2026-27690 (CVSS 9.9) bekannt. CVE-2026-44747 betrifft SAP NetWeaver Application Server ABAP in zahlreichen Kernel-Versionen und ermöglicht privilegierten Angreifern die Ausführung beliebigen Codes mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE-2026-27690 betrifft SAP Approuter (Node.js) in Versionen vor 20.10.0 und ist durch ein Update auf Version 20.10.0 oder höher behebbar. Details siehe unten.
Am 8. Juli 2026 veröffentlichte SAP im Rahmen des regulären Security Patch Days eine kritische Schwachstelle in SAP Commerce Cloud unter der Kennung CVE-2026-44761 mit einem CVSS-Score von 9.1 (laut SAP Security Note 3753495, SAP-Kundenkonto erforderlich). Die Ursache ist ein Konfigurationsfehler: Ein mitgelieferter OAuth2-Beispiel-Client, dessen Zugangsdaten öffentlich in der SAP-Hilfsdokumentation dokumentiert sind, kann in Produktivumgebungen aktiv bleiben. Ein Angreifer kann diese bekannten Zugangsdaten ohne vorherige Authentifizierung nutzen, um auf APIs zuzugreifen und Daten zu lesen oder zu manipulieren.
Technische Analyse der Schwachstelle CVE-2026-44761
Die Schwachstelle CVE-2026-44761 resultiert nicht aus einem Fehler im Programmcode, sondern aus einer unsicheren Standardkonfiguration. SAP stellt für Entwicklungs- und Testzwecke Beispielkonfigurationen bereit. Wenn diese Konfigurationen für einen OAuth2-Client unverändert in eine Produktivumgebung übernommen werden, entsteht ein erhebliches Sicherheitsrisiko. Ein externer Angreifer kann die dokumentierten Credentials nutzen, um einen gültigen Access Token zu erhalten und so die API der SAP Commerce Cloud-Instanz anzusprechen.
Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N beschreibt die Gefahr präzise:
Attack Vector: Network (AV:N): Der Angriff kann aus dem Internet erfolgen.
Attack Complexity: Low (AC:L): Es sind keine komplexen Vorbereitungen notwendig.
Privileges Required: None (PR:N): Der Angreifer benötigt keine Zugangsdaten oder Berechtigungen.
User Interaction: None (UI:N): Es ist keine Interaktion eines Nutzers erforderlich.
Impact: Die Auswirkungen auf die Vertraulichkeit (C:H) und Integrität (I:H) der Daten werden als hoch eingestuft. Die Verfügbarkeit (A:N) ist nicht direkt betroffen.
Technische Analyse der Schwachstellen CVE-2026-44747 und CVE-2026-27690
CVE-2026-44747 betrifft den SAP NetWeaver Application Server ABAP in einer Vielzahl von Kernel-Versionen (KRNL64NUC 7.22/7.22EXT, KRNL64UC 7.22/7.22EXT, KERNEL 7.22/7.53/7.54/7.77/7.89/7.93/9.16/9.18/9.19/9.20). Mit einem CVSS-Score von 9.9 (Kritisch) und dem Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H handelt es sich um eine besonders schwerwiegende Schwachstelle. Ein Angreifer mit niedrigen Privilegien (PR:L) kann über das Netzwerk (AV:N) mit geringer Komplexität (AC:L) und ohne Benutzerinteraktion (UI:N) einen Angriff durchführen, der über die Grenzen der ursprünglichen Sicherheitsdomäne hinausgeht (S:C). Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sind jeweils hoch (C:H/I:H/A:H). Dies deutet darauf hin, dass ein erfolgreicher Angriff die vollständige Kontrolle über betroffene Systeme ermöglichen kann.
CVE-2026-27690 betrifft SAP Approuter (Node.js) in Versionen vor 20.10.0. Auch hier liegt der CVSS-Score bei 9.9 (Kritisch) mit identischem Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. SAP Approuter ist eine zentrale Komponente für das Routing und die Authentifizierung in SAP-Cloud-Umgebungen. Eine Schwachstelle in dieser Komponente kann weitreichende Folgen für die Sicherheit der gesamten Anwendungslandschaft haben. Für CVE-2026-27690 steht ein Patch zur Verfügung: Betreiber sollten auf SAP Approuter Version 20.10.0 oder höher aktualisieren.
Risiko für den Geschäftsbetrieb
Ein erfolgreicher Angriff über eine dieser Schwachstellen kann weitreichende Folgen haben, da SAP Commerce Cloud und SAP NetWeaver oft geschäftskritische Daten verarbeiten.
Bei CVE-2026-44761 könnten Angreifer sensible Kundendaten auslesen, Produktinformationen und Preise manipulieren oder Bestelldaten verändern. Dies führt zu direkten finanziellen Schäden, Reputationsverlust und möglichen Verstößen gegen Datenschutzgesetze wie die DSGVO. Da der Zugriff mit scheinbar legitimen, wenn auch standardisierten, Zugangsdaten erfolgt, kann ein solcher Vorfall lange unentdeckt bleiben.
CVE-2026-44747 und CVE-2026-27690 ermöglichen privilegierten Angreifern potenziell die vollständige Kontrolle über betroffene Systeme mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Dies kann zu Datendiebstahl, Manipulation von Geschäftsprozessen, Systemausfällen und erheblichen Betriebsunterbrechungen führen. Die Tatsache, dass diese Schwachstellen über Sicherheitsgrenzen hinweg wirken (Scope Changed), verstärkt das Risiko für die gesamte IT-Infrastruktur.
Diese Fälle unterstreichen die Bedeutung eines rigorosen Konfigurationsmanagements und eines zeitnahen Patch-Managements bei der Inbetriebnahme und dem Betrieb von Unternehmenssoftware. Beispielkonfigurationen dürfen niemals ohne Anpassung in Produktivsystemen eingesetzt werden, und Sicherheitsupdates müssen zeitnah eingespielt werden.
Für Unternehmen in Deutschland, Österreich und der Schweiz ist besonders relevant: Werden durch einen solchen Zugriff personenbezogene Daten von EU-Bürgern kompromittiert, greift gemäß Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden. Darüber hinaus können Betreiber von SAP Commerce Cloud und SAP NetWeaver, die als wichtige oder besonders wichtige Einrichtungen im Sinne der NIS-2-Richtlinie eingestuft sind, zusätzlichen Melde- und Sicherheitspflichten unterliegen. Das BSI empfiehlt generell, Sicherheitshinweise von Herstellern wie SAP zeitnah umzusetzen.
Handlungsempfehlungen für Betreiber
SAP hat im Rahmen des regulären Security Patch Days die entsprechenden Security Notes bereitgestellt. Betreiber sollten die konkreten Anweisungen über ihr SAP-Kundenkonto einsehen. Folgende Schritte sollten umgehend eingeleitet werden:
Für CVE-2026-44761 (SAP Commerce Cloud OAuth2-Konfiguration):
Inventarisierung und Prüfung: Identifizieren Sie alle Instanzen von SAP Commerce Cloud. Überprüfen Sie die Konfiguration jedes Systems darauf, ob der OAuth2-Beispiel-Client mit den öffentlich dokumentierten Zugangsdaten aktiv ist.
Sofortige Korrektur: Deaktivieren oder entfernen Sie den betreffenden Client umgehend. Ersetzen Sie ihn durch eine Konfiguration mit sicheren, individuell generierten Zugangsdaten.
Implementierung des SAP-Hinweises: Implementieren Sie die Konfigurationsmaßnahmen aus der SAP Security Note 3753495 gemäß den Anweisungen des Herstellers. Der Zugriff auf die Note erfordert ein SAP-Kundenkonto.
Für CVE-2026-44747 (SAP NetWeaver Application Server ABAP):
Betroffene Systeme identifizieren: Ermitteln Sie alle SAP NetWeaver ABAP-Instanzen und deren Kernel-Versionen. Prüfen Sie, ob eine der betroffenen Versionen (KRNL64NUC 7.22/7.22EXT, KRNL64UC 7.22/7.22EXT, KERNEL 7.22/7.53/7.54/7.77/7.89/7.93/9.16/9.18/9.19/9.20) im Einsatz ist.
SAP Security Note konsultieren: Rufen Sie die entsprechende SAP Security Note über das SAP Support Portal ab und folgen Sie den dort beschriebenen Anweisungen zur Behebung der Schwachstelle.
Patches zeitnah einspielen: Planen und implementieren Sie die bereitgestellten Patches oder Workarounds gemäß den SAP-Empfehlungen und Ihren Change-Management-Prozessen.
Für CVE-2026-27690 (SAP Approuter Node.js):
Versionen prüfen: Identifizieren Sie alle Instanzen von SAP Approuter (Node.js) und prüfen Sie, ob eine Version vor 20.10.0 im Einsatz ist.
Update durchführen: Aktualisieren Sie SAP Approuter auf Version 20.10.0 oder höher. Testen Sie das Update in einer Testumgebung, bevor Sie es in der Produktion ausrollen.
Dokumentation prüfen: Konsultieren Sie die offizielle SAP-Dokumentation und die entsprechende Security Note für weitere Details und mögliche Konfigurationsanpassungen.
Allgemeine Empfehlungen:
Monitoring und Logging: Verstärken Sie das Monitoring Ihrer SAP-Systeme, um verdächtige Aktivitäten frühzeitig zu erkennen. Überprüfen Sie Logs auf ungewöhnliche API-Zugriffe oder Authentifizierungsversuche.
Regelmäßige Security-Reviews: Führen Sie regelmäßige Sicherheitsüberprüfungen Ihrer SAP-Landschaft durch, um Konfigurationsfehler und veraltete Komponenten zu identifizieren.
Patch-Management-Prozess: Etablieren Sie einen strukturierten Prozess für das zeitnahe Einspielen von Sicherheitsupdates.
Sichtbarkeit von außen als Grundlage des Risikomanagements
Schwachstellen wie CVE-2026-44761, CVE-2026-44747 und CVE-2026-27690 verdeutlichen die Herausforderung, den Überblick über alle extern erreichbaren Systeme und deren Konfigurationen zu behalten. Oftmals werden solche Systeme im Rahmen von Projekten aufgesetzt und geraten später als „Schatten-IT“ aus dem Blickfeld der Sicherheitsabteilung — sei es, weil sie in Cloud-Umgebungen provisioniert, nach einem Projektabschluss vergessen oder schlicht nicht im Asset-Inventar erfasst wurden.
Eine External Attack Surface Management (EASM) Plattform wie LocateRisk adressiert dieses Problem, indem sie kontinuierlich alle mit Ihrem Unternehmen verbundenen IT-Assets identifiziert. Dies schließt auch Instanzen von SAP Commerce Cloud, SAP NetWeaver und SAP Approuter ein, die unter Ihren Domains betrieben werden. Diese Transparenz ermöglicht es Sicherheitsteams, gezielt zu prüfen, ob potenziell anfällige Systeme existieren und ob unsichere Standardkonfigurationen oder veraltete Versionen im Einsatz sind — auch dort, wo kein vollständiges Asset-Inventar gepflegt wird. So wird die Zeit zwischen der Entstehung einer Sicherheitslücke und ihrer Entdeckung erheblich verkürzt.
Ergänzend hilft das kontinuierliche Vendor Risk Management (C-VRM), die Sicherheit von wichtigen Lieferanten wie SAP zu bewerten und Risiken in der Lieferkette proaktiv zu steuern. Als deutsche Lösung, gehostet in ISO 27001-zertifizierten Rechenzentren in Deutschland, unterstützt LocateRisk dabei die Anforderungen der DSGVO und hilft, Risiken im Zusammenhang mit dem US Cloud Act zu minimieren.
CVE-2026-44761 ist eine Schwachstelle in SAP Commerce Cloud, die durch eine unsichere Standardkonfiguration entsteht: Ein OAuth2-Beispiel-Client mit öffentlich dokumentierten Zugangsdaten kann unverändert in Produktivumgebungen aktiv bleiben. Laut SAP Security Note 3753495 kann ein unauthentifizierter Angreifer diese bekannten Credentials nutzen, um einen gültigen Access Token zu erhalten und bestimmte APIs aufzurufen — mit hohem Einfluss auf Vertraulichkeit und Integrität der Daten (CVSS 9.1).
Gemäß den Angaben in SAP Security Note 3753495 sind die Versionen COM_CLOUD 2211, COM_CLOUD 2211-JDK21 sowie HY_COM 2205 von CVE-2026-44761 betroffen. Betreiber anderer Versionen sollten dennoch prüfen, ob entsprechende Beispiel-OAuth2-Konfigurationen in ihren Systemen aktiv sind.
CVE-2026-44747 betrifft SAP NetWeaver Application Server ABAP in zahlreichen Kernel-Versionen (7.22 bis 9.20) und ermöglicht privilegierten Angreifern die Ausführung beliebigen Codes mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit (CVSS 9.9). CVE-2026-27690 betrifft SAP Approuter (Node.js) in Versionen vor 20.10.0 mit identischem CVSS-Score und Angriffsvektor. Für CVE-2026-27690 steht ein Patch zur Verfügung (Update auf Version 20.10.0 oder höher).
Für CVE-2026-44761 beschreibt SAP Security Note 3753495 eine Konfigurationsmaßnahme: Betreiber sollten den betreffenden OAuth2-Beispiel-Client deaktivieren oder entfernen und durch eine Konfiguration mit sicher generierten, individuellen Zugangsdaten ersetzen. Für CVE-2026-44747 sollten Betreiber die entsprechende SAP Security Note konsultieren und die dort beschriebenen Patches oder Workarounds implementieren. Für CVE-2026-27690 ist ein Update auf SAP Approuter Version 20.10.0 oder höher erforderlich. Die vollständigen Anweisungen sind über ein SAP-Kundenkonto abrufbar.
Es liegen zum aktuellen Zeitpunkt keine Informationen darüber vor, dass CVE-2026-44761, CVE-2026-44747 oder CVE-2026-27690 aktiv ausgenutzt werden. Dennoch sollten Betreiber aufgrund der hohen CVSS-Scores und der potenziell weitreichenden Folgen die empfohlenen Maßnahmen umgehend umsetzen.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.