Welle von CVEs trifft SAP, Fortinet, Ivanti und VMware mitten im S/4HANA-Renntag

Die Woche begann mit einer synchronisierten Folge von kritischen Sicherheitsanfälligkeiten bei Enterprise-Anbietern. SAP, Fortinet, Ivanti, VMware und n8n haben zwischen Montag und Dienstag Patches für hochgradige Schwächen veröffentlicht, deren Volumen und Verbreitung koordinierte Maßnahmen von Infrastruktur- und Sicherheitsteams in den kommenden Tagen erfordern. Keine der CVEs wurde bis zum Abschluss dieser Ausgabe als aktiv ausgenutzt gemeldet, doch das Zeitfenster zwischen Veröffentlichung und Ausnutzung hat sich in ähnlichen Fällen kürzlich auf Stunden reduziert.

Die bedeutendste Warnung kommt von SAP, und die Synchronität mit dem Migrationszeitplan des Unternehmens macht den Fall besonders. Der Patch für die CVE-2026-34260, eine SQL-Injection-Schwachstelle in S/4HANA mit CVSS 9.6, kommt genau zu dem Zeitpunkt, zu dem mehr als die Hälfte der globalen SAP-Kunden die Migration von der Legacy-Plattform zur aktuellen Version abgeschlossen hat oder abschließt, gemäß den Tracking-Daten von SAPinsider. Der regulatorische Druck von SAP selbst, das ursprüngliche Support-Ende für ECC im Jahr 2027 mit kostenpflichtigen Erweiterungen bis 2033 über RISE with SAP aufrechtzuerhalten, hat ein Zeitfenster für eine Massenmigration geschaffen, welches mit der Veröffentlichung zusammenfällt. Die Schwachstelle ermöglicht es, sensible Daten aus der Datenbank über vom Angreifer kontrollierte Eingaben im Nur-Lese-Modus zu exponieren, was ausreicht, um die Konfiguration von kritischen Tabellen in Umgebungen, in denen die Migration noch nicht stabilisierte Zugriffssegregationsrichtlinien, zu leaken. Der zweite kritische Patch von SAP, CVE-2026-34263, betrifft die SAP Commerce Cloud Configuration mit einer Bewertung von 9.6 und ebnet den Weg für die Ausführung beliebigen Codes auf dem Server aufgrund einer nachlässigen Sicherheitskonfiguration mit unzureichender Regelpriorität. Für Kunden in der Mitte der Migration wird empfohlen, dies als prioritäres Change-Window innerhalb der Woche zu behandeln.

Fortinet und Ivanti zum Zugangskontrolle

Fortinet hat zwei CVEs mit einer Bewertung von 9.1 veröffentlicht. Die CVE-2026-44277 betrifft den FortiAuthenticator und ermöglicht es einem nicht authentifizierten Angreifer, unbefugten Code durch konstruierte Anfragen auszuführen. Die korrigierten Versionen sind 6.5.7, 6.6.9 und 8.0.3. Die CVE-2026-26083 betrifft den FortiSandbox in allen Varianten, einschließlich Cloud und PaaS, mit der gleichen Ursache: das Fehlen einer Autorisierungsüberprüfung in der Web-UI, die die Durchführung von Code ohne Authentifizierung ermöglicht. Die korrigierten Versionen sind 4.4.9 und 5.0.2 für FortiSandbox On-Prem, 5.0.6 für Cloud sowie 4.4.9 oder 5.0.2 für PaaS.

Ivanti hat einen Patch für die CVE-2026-8043 in Xtraction vor der Version 2026.2 veröffentlicht, mit einer Bewertung von 9.6. Der Fehler erlaubt es einem authentifizierten entfernten Angreifer, sensible Dateien zu lesen und beliebiges HTML in das Webverzeichnis zu schreiben, was den Weg für Informationsleck und Angriffe auf der Clientseite öffnet. VMware hat die CVE-2026-41702 in Fusion (CVSS 7.8) korrigiert, eine TOCTOU-Schwachstelle in einem SETUID-Binärprogramm, die lokal Privilegien auf root eskaliert. Der Patch ist in der Version 26H1 enthalten, und die Auswirkung ist auf Hosts begrenzt, auf denen Fusion ausgeführt wird, was die Exposition in standardisierten Unternehmensflotten auf Server-Hypervisoren verringert.

n8n summiert Fehler bei der Prototypenverschmutzung

Der am stärksten betroffene Fall ist n8n, eine Plattform zur Automatisierung, die weit verbreitet in Datenengineering- und Betriebsteams ist. Es wurden fünf CVEs mit CVSS 9.4 im selben Zyklus veröffentlicht. Die CVE-2026-42231 und CVE-2026-42232 betreffen Prototypenverschmutzung über XML, mit der Möglichkeit, dass authentifizierte Benutzer, die über Workflow-Berechtigungen verfügen, Code aus der Ferne ausführen können. Die korrigierten Versionen sind 1.123.32, 2.17.4 und 2.18.1. Die CVE-2026-44791 dokumentiert einen Bypass für den Patch der CVE-2026-42232 und erfordert ein zusätzliches Upgrade auf 1.123.43, 2.20.7 oder 2.22.1, was auf einen unvollständigen Patch in der ersten Runde hinweist.

Die CVE-2026-44789 betrifft den HTTP Request-Knoten über einen nicht validierten Paginierungsparameter. Die CVE-2026-44790 ist potenziell die schwerwiegendste der Reihe: die Injektion einer CLI-Flagge in die Push-Operation des Git-Knotens ermöglicht das beliebige Lesen von Dateien auf dem n8n-Server, was zu einer vollständigen Kompromittierung führt. Teams, die n8n in der Produktion betreiben, sollten die vollständige Versionsreihe 1.123.43, 2.20.7 und 2.22.1 ohne Unterbrechung zwischen den Runden anwenden, da nur der endgültige Patch das Set komplett schließt.

Der Trend dieser Woche setzt einen besonderen Druck auf hybride Umgebungen. Aktualisierungen von SAP, FortiAuthenticator und Xtraction fallen typischerweise in unterschiedliche Change-Management-Fenster, und die Überlappung der Prioritäten wird erfordern, dass CISOs das Remediation-Backlog umorganisieren, um die drei als eine einzige Kategorie zu behandeln. Das spezifische Risiko von 2026 ist, dass laufende Migrationen von S/4HANA häufig im Dual-Stack-Modus über mehrere Wochen betrieben werden, wobei das Alte und das Neue koexistieren. Umgebungen in dieser Phase sind besonders exponiert: Das verantwortliche Team konzentriert sich auf die Kompatibilität von Geschäftsprozessen, nicht auf nachträgliche Patches im System, das gerade in Produktion genommen wurde.