SAP Commerce Cloud & NetWeaver: mehrere kritische Sicherheitslücken (CVE-2026-44761, CVE-2026-44747, CVE-2026-27690)


Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 14.07.2026: Zusätzlich wurden CVE-2026-44747 und CVE-2026-27690 (CVSS 9.9) bekannt. CVE-2026-44747 betrifft SAP NetWeaver Application Server ABAP in zahlreichen Kernel-Versionen und ermöglicht privilegierten Angreifern die Ausführung beliebigen Codes mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE-2026-27690 betrifft SAP Approuter (Node.js) in Versionen vor 20.10.0 und ist durch ein Update auf Version 20.10.0 oder höher behebbar. Details siehe unten.

Am 8. Juli 2026 veröffentlichte SAP im Rahmen des regulären Security Patch Days eine kritische Schwachstelle in SAP Commerce Cloud unter der Kennung CVE-2026-44761 mit einem CVSS-Score von 9.1 (laut SAP Security Note 3753495, SAP-Kundenkonto erforderlich). Die Ursache ist ein Konfigurationsfehler: Ein mitgelieferter OAuth2-Beispiel-Client, dessen Zugangsdaten öffentlich in der SAP-Hilfsdokumentation dokumentiert sind, kann in Produktivumgebungen aktiv bleiben. Ein Angreifer kann diese bekannten Zugangsdaten ohne vorherige Authentifizierung nutzen, um auf APIs zuzugreifen und Daten zu lesen oder zu manipulieren.

Sind meine Systeme betroffen? Jetzt prüfen →