CVE-2026-27688

EUVD-2026-10462

10.03.2026, 17:38

Due to a missing authorization check in SAP NetWeaver Application Server for ABAP, an authenticated attacker with user privileges could read Database Analyzer Log Files via a specific RFC function module. The attacker with the necessary privileges to execute this function module could potentially escalate their privileges and read the sensitive data, resulting in a limited impact on the confidentiality of the information stored. However, the integrity and availability of the system are not affected.

Provider	Type	Base Score	Atk. Vector	Atk. Complexity	Priv. Required	Vector
NIST	Primary	5 MEDIUM	NETWORK	LOW	LOW	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
sap	CNA	5 MEDIUM	NETWORK	LOW	LOW	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N

Awaiting analysis

This vulnerability is currently awaiting analysis.

Base Score

CVSS 3.x

EPSS Score

Percentile: Unknown

Common Weakness Enumeration

CWE-862 - Missing Authorization
The software does not perform an authorization check when an actor attempts to access a resource or perform an action.

Vulnerability Media Exposure

[GERMAN] SAP Patch Day März 2026: Zwei HotNews-Lücken in Log4j und NetWeaver geschlossen
Zum SAP Patch Day im März 2026 hat der Softwarekonzern zwanzig Sicherheitshinweise veröffentlicht – darunter zwei als HotNews eingestufte Schwachstellen mit hohen CVSS-Werten sowie zwei High-Priority-Hinweise. Im Fokus stehen eine seit Jahren bekannte Log4j-Komponente und eine Deserialisierungslücke im NetWeaver Enterprise Portal. Zudem haben die Onapsis Research Labs erneut zur Aufdeckung und Behebung einer Schwachstelle beigetragen. Der Beitrag SAP Patch Day März 2026: Zwei HotNews-Lücken in Log4j und NetWeaver geschlossen erschien zuerst auf All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit .
Published: 2026-03-11T07:35:20+00:00

References

https://me.sap.com/notes/3704740

https://url.sap/sapsecuritypatchday