11. März 2026
Die 3 Software-Hersteller SAP, Adobe und Microsoft veröffentlichen massenhaft Patches für den März 2026. Einige Lücken gelten als hochkritisch. Jetzt patchen!
SAP-Patches
Das Sicherheitsunternehmen SAP hat am Dienstag im Rahmen seines Sicherheitspatch-Tages im März 2026 15 neue Sicherheitshinweise veröffentlicht.
Der wichtigste dieser Hinweise behebt kritische Sicherheitslücken in Quotation Management Insurance (FS-QUO) und NetWeaver Enterprise Portal Administration.
SAP beschreibt den FS-QUO-Fehler, der unter CVE-2019-17571 (CVSS-Wert 9,8) geführt wird, als Code-Injection-Problem.
Dieser Fehler, der erstmals im Dezember 2019 gemeldet wurde, betrifft die Deserialisierung nicht vertrauenswürdiger Daten in Apache Log4j und kann es Angreifern unter bestimmten Bedingungen ermöglichen, beliebigen Code auszuführen.
Der zweite kritische Fehler, der unter CVE-2026-27685 (CVSS-Wert 9,1) geführt wird, betrifft ebenfalls die Deserialisierung nicht vertrauenswürdiger Daten.
Angreifer könnten dadurch nicht vertrauenswürdige Daten hochladen, die nach der Deserialisierung zur Ausführung von Schadcode, Denial-of-Service-Angriffen (DoS) oder Rechteausweitung führen könnten.
Der dritte Sicherheitshinweis, der am SAP Security Patch Day im März 2026 veröffentlicht wurde, behebt CVE-2026-27689 (CVSS-Wert 7,7), eine schwerwiegende DoS-Schwachstelle in Supply Chain Management.
Diese Schwachstelle ermöglicht es Angreifern, eine nicht näher spezifizierte Funktion mit einem extrem grossen Schleifensteuerungsparameter wiederholt aufzurufen und so durch kontinuierliche Ausführung die Systemressourcen zu erschöpfen.
Die übrigen neuen Sicherheitshinweise von SAP beheben Schwachstellen mittlerer Schwere in NetWeaver, Business One, Business Warehouse, S/4HANA, Customer Checkout 2.0, GUI für Windows und dem Solution Tools Plug-In.
Zu den behobenen Sicherheitslücken gehören Server-Side Request Forgery (SSRF), fehlende Autorisierungsprüfung, SQL-Injection, XSS, unzureichender Speicherschutz, DLL-Hijacking und DoS-Schwachstellen.
SAP erwähnt nicht, dass diese Sicherheitslücken in freier Wildbahn ausgenutzt werden, aber die Benutzer sollten ihre Installationen so schnell wie möglich aktualisieren.
Quelle: Security Week
Adobe-Patches
Adobe hat am Dienstag Patches für 80 Sicherheitslücken in acht Produkten veröffentlicht, darunter Commerce, Illustrator, Acrobat Reader und Premiere Pro.
Das Unternehmen hat Korrekturen für 19 Schwachstellen in Adobe Commerce und Magento Open Source bereitgestellt und Nutzern dringend empfohlen, die Patches innerhalb der nächsten 30 Tage zu installieren, da diese Produkte als Ziel von Cyberkriminellen bekannt sind.
Das Update behebt sechs schwerwiegende Sicherheitslücken, von denen fünf zu einer Rechteausweitung führen können: CVE-2026-21290, CVE-2026-21361, CVE-2026-21284, CVE-2026-21311 und CVE-2026-21309. Die sechste Sicherheitslücke, CVE-2026-21289, ermöglicht das Umgehen von Sicherheitsfunktionen.
Laut Adobes Mitteilung handelt es sich bei den verbleibenden Fehlern um Schwachstellen mit mittlerem und niedrigem Schweregrad, die zur Ausführung beliebigen Codes, zur Rechteausweitung, zum Umgehen von Sicherheitsfunktionen und zu Denial-of-Service-Angriffen (DoS) führen können.
Für Adobe Commerce (Versionen 2.4.4 bis 2.4.9), Adobe Commerce B2B (Versionen 1.3.3 bis 1.5.3) und Magento Open Source (Versionen 2.4.5 bis 2.4.9) wurden Korrekturen veröffentlicht.
Adobe Illustrator erhielt Patches für sieben Sicherheitslücken, darunter fünf Fehler, die zur Ausführung beliebigen Codes führen können: CVE-2026-21333, CVE-2026-21362, CVE-2026-27271, CVE-2026-27272 und CVE-2026-27267.
Schwerwiegende Sicherheitslücken, die zur Ausführung beliebigen Codes führten, wurden in Acrobat Reader, Premiere Pro, Substance 3D Stager und dem DNG Software Development Kit (SDK) behoben.
Im Gegensatz zur Adobe Commerce-Warnung mit Priorität 2 haben diese Sicherheitslücken Priorität 3. Das bedeutet, dass die Produkte weniger wahrscheinlich Ziel von Cyberangriffen sind.
Die aktuellen Sicherheitsupdates von Adobe beheben zudem Schwachstellen mittlerer und niedriger Priorität in diesen Produkten sowie in Substance 3D Painter und Experience Manager.
Adobe erwähnt keine Fälle, in denen diese Sicherheitslücken ausgenutzt wurden. Weitere Informationen finden Sie auf der PSIRT-Seite des Unternehmens.
Quelle: SecurityWeek
Microsoft-Patches
Obwohl bisher keine der Sicherheitslücken als ausgenutzt gemeldet wurde, wurden zwei davon öffentlich bekannt gegeben, wie aus Microsoft-Sicherheitshinweisen hervorgeht.
Dazu gehören CVE-2026-26127, eine Denial-of-Service-Schwachstelle (DoS) in .NET, und CVE-2026-21262, eine Schwachstelle zur Rechteausweitung in SQL Server.
„Diese Sicherheitslücken sind weniger gefährlich als erwartet. Die DoS-Schwachstelle wird als unwahrscheinlich ausnutzbar eingestuft und erfordert eine vorherige Autorisierung des Angreifers. Auch die Schwachstelle zur Rechteausweitung wird als weniger ausnutzbar angesehen“, erklärt Satnam Narang, Forscher bei Tenable.
Die Patch-Tuesday-Updates von Microsoft im März 2026 beheben eine kritische Sicherheitslücke, nämlich CVE-2026-21536 (CVSS-Wert 9,8). Dabei handelt es sich um eine Schwachstelle zur Remotecodeausführung im Devices Pricing Program, die von Microsoft bereits vollständig behoben wurde.
„Für die Nutzer dieses Dienstes ist kein Handlungsbedarf erforderlich. Diese CVE-Meldung dient der besseren Transparenz“, so das Unternehmen.
Ein weiterer wichtiger Sicherheitsmangel ist CVE-2026-26118, eine Schwachstelle in den Azure MCP Server Tools, die eine Rechteausweitung ermöglicht. Diese kann ausgenutzt werden, indem speziell präparierte Eingaben an ein Servertool gesendet werden, das benutzerdefinierte Parameter akzeptiert.
„Wenn ein Angreifer mit dem MCP-basierten Agenten interagieren kann, kann er eine schädliche URL anstelle einer normalen Azure-Ressourcenkennung übermitteln. Der MCP-Server sendet dann eine ausgehende Anfrage an diese URL und kann dabei sein verwaltetes Identitätstoken übermitteln. Dadurch kann der Angreifer dieses Token abfangen, ohne über Administratorrechte zu verfügen“, erklärt Microsoft.
Narang weist darauf hin, dass die Sicherheitslücken zur Rechteausweitung in der Windows-Grafikkomponente, der Windows-Barrierefreiheitsinfrastruktur, dem Windows-Kernel, dem Windows SMB-Server und Winlogon besondere Aufmerksamkeit erfordern, da solche Schwachstellen häufig direkt nach dem ersten Zugriff ausgenutzt werden.
Laut Tyler Reguly, Associate Director bei Fortra, sollten Nutzer ausserdem fünf Azure-Sicherheitslücken beachten, die in diesem Monat behoben wurden.
Dazu gehören eine Schwachstelle zur Rechteausweitung in virtuellen Azure Linux-Maschinen (CVE-2026-23665) sowie eine Spoofing-Schwachstelle und drei Schwachstellen zur Offenlegung von Informationen im Azure IoT Explorer (CVE-2026-26121, CVE-2026-23661, CVE-2026-23662 und CVE-2026-23664).
Reguly betont, dass diese Sicherheitslücken spezielle Patch-Mechanismen erfordern, was zusätzlichen Aufwand für IT-Teams bedeuten kann.
„CSOs sollten sicherstellen, dass sie über solide Bestandslisten ihrer Cloud-Systeme und -Tools verfügen, damit Administratoren wissen, wo diese Systeme und Tools vorhanden sind und wann sie repariert werden müssen. Dies ist der beste Weg, Ihre Systemadministratoren und Sicherheitsteams in einem ruhigen Monat wie diesem zu unterstützen“, sagte Reguly.
Microsoft kündigte ausserdem Korrekturen für zehn Nicht-Microsoft-CVEs an, darunter eine Schwachstelle im Microsoft Semantic Kernel Python SDK und neun in Microsoft Edge (basierend auf Chromium).
