CVE-2026-27686

EUVD-2026-10459

10.03.2026, 17:38

Due to a Missing Authorization Check in SAP Business Warehouse (Service API), an authenticated attacker could perform unauthorized actions via an affected RFC function module. Successful exploitation could enable unauthorized configuration and control changes, potentially disrupting request processing and causing denial of service. This results in low impact on integrity and high impact on availability, while confidentiality remains unaffected.

Provider	Type	Base Score	Atk. Vector	Atk. Complexity	Priv. Required	Vector
NIST	Primary	5.9 MEDIUM	NETWORK	HIGH	LOW	CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H
sap	CNA	5.9 MEDIUM	NETWORK	HIGH	LOW	CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H

Awaiting analysis

This vulnerability is currently awaiting analysis.

Base Score

CVSS 3.x

EPSS Score

Percentile: Unknown

Common Weakness Enumeration

CWE-862 - Missing Authorization
The software does not perform an authorization check when an actor attempts to access a resource or perform an action.

Vulnerability Media Exposure

[GERMAN] SAP Patch Day März 2026: Zwei HotNews-Lücken in Log4j und NetWeaver geschlossen
Zum SAP Patch Day im März 2026 hat der Softwarekonzern zwanzig Sicherheitshinweise veröffentlicht – darunter zwei als HotNews eingestufte Schwachstellen mit hohen CVSS-Werten sowie zwei High-Priority-Hinweise. Im Fokus stehen eine seit Jahren bekannte Log4j-Komponente und eine Deserialisierungslücke im NetWeaver Enterprise Portal. Zudem haben die Onapsis Research Labs erneut zur Aufdeckung und Behebung einer Schwachstelle beigetragen. Der Beitrag SAP Patch Day März 2026: Zwei HotNews-Lücken in Log4j und NetWeaver geschlossen erschien zuerst auf All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit .
Published: 2026-03-11T07:35:20+00:00

References

https://me.sap.com/notes/3703385

https://url.sap/sapsecuritypatchday