Eine Reihe kritischer Schwachstellen, die Produkte von **Adobe**, **Fortinet**, **Microsoft** und **SAP** betreffen, stehen im Mittelpunkt der Patch-Tuesday-Veröffentlichungen im April. ## SAP SQL Injection Schwachstelle An erster Stelle steht eine SQL Injection Schwachstelle, die **SAP Business Planning and Consolidation** und **SAP Business Warehouse** (**CVE-2026-27681**, CVSS-Score: 9.9) betrifft und zur Ausführung beliebiger Datenbankbefehle führen könnte. "Das anfällige ABAP-Programm ermöglicht es einem Benutzer mit geringen Rechten, eine Datei mit beliebigen SQL-Anweisungen hochzuladen, die dann ausgeführt werden", teilte **Onapsis** in einer Mitteilung mit. In einem potenziellen Angriffsszenario könnte ein böswilliger Akteur die betroffene, mit dem Hochladen zusammenhängende Funktionalität missbrauchen, um bösartige SQL-Abfragen gegen BW/BPC-Datenspeicher auszuführen, sensible Daten zu extrahieren und Datenbankinhalte zu löschen oder zu beschädigen. **Pathlock** erklärte, dass manipulierte Planungszahlen, fehlerhafte Berichte oder gelöschte Konsolidierungsdaten Abschlussprozesse, Management-Reporting und operative Planung untergraben können. Sie warnten weiter, dass das Problem einen glaubwürdigen Weg für sowohl heimliche Datendiebstähle als auch für offene Geschäftsunterbrechungen schafft. ## Aktuell ausgenutzte Adobe Acrobat Reader Schwachstelle Eine weitere erwähnenswerte Sicherheitslücke ist eine Remote Code Execution mit kritischem Schweregrad in **Adobe Acrobat Reader** (**CVE-2026-34621**, CVSS-Score: 8.6), die derzeit aktiv ausgenutzt wird. Derzeit sind die Details zur Ausnutzung spärlich, einschließlich des Umfangs der betroffenen Benutzer, der Identität der Bedrohungsakteure, ihrer Ziele und ihrer Motive. ## Adobe ColdFusion Schwachstellen Ebenfalls von **Adobe** gepatcht wurden fünf kritische Schwachstellen in **ColdFusion** Versionen 2025 und 2023, die bei erfolgreicher Ausnutzung zu beliebiger Codeausführung, Denial-of-Service von Anwendungen, beliebigem Lesen von Dateisystemen und Umgehung von Sicherheitsfunktionen führen könnten. Die Schwachstellen sind unten aufgeführt: * **CVE-2026-34619** (CVSS-Score: 7.7) - Eine Path Traversal Schwachstelle, die zur Umgehung von Sicherheitsfunktionen führt * **CVE-2026-27304** (CVSS-Score: 9.3) - Eine Schwachstelle bei der unsachgemäßen Eingabevalidierung, die zu beliebiger Codeausführung führt * **CVE-2026-27305** (CVSS-Score: 8.6) - Eine Path Traversal Schwachstelle, die zum beliebigen Lesen von Dateisystemen führt * **CVE-2026-27282** (CVSS-Score: 7.5) - Eine Schwachstelle bei der unsachgemäßen Eingabevalidierung, die zur Umgehung von Sicherheitsfunktionen führt * **CVE-2026-27306** (CVSS-Score: 8.4) - Eine Schwachstelle bei der unsachgemäßen Eingabevalidierung, die zu beliebiger Codeausführung führt ## Fortinet FortiSandbox Schwachstellen Es wurden auch Korrekturen für zwei kritische **FortiSandbox** Schwachstellen veröffentlicht, die zu Authentifizierungs-Bypass und Codeausführung führen könnten: * **CVE-2026-39813** (CVSS-Score: 9.1) - Eine Path Traversal Schwachstelle in der JRPC API von **FortiSandbox**, die es einem nicht authentifizierten Angreifer ermöglichen könnte, die Authentifizierung über speziell präparierte HTTP-Anfragen zu umgehen. (Behoben in den Versionen 4.4.9 und 5.0.6) * **CVE-2026-39808** (CVSS-Score: 9.1) - Eine Operating System Command Injection Schwachstelle in **FortiSandbox**, die es einem nicht authentifizierten Angreifer ermöglichen könnte, unautorisierten Code oder Befehle über präparierte HTTP-Anfragen auszuführen. (Behoben in Version 4.4.9) ## Microsofts umfangreiche Patch-Veröffentlichung **Microsoft** hat erstaunliche 169 Sicherheitsprobleme behoben, darunter eine Spoofing-Schwachstelle, die **Microsoft SharePoint Server** (**CVE-2026-32201**, CVSS-Score: 6.5) betrifft und es einem Angreifer ermöglichen könnte, sensible Informationen einzusehen. Das Unternehmen gab an, dass sie aktiv ausgenutzt wird, obwohl es keine Einblicke in die Ausnutzung der Schwachstelle im Feld gibt. Kev Breen, Senior Director of Threat Research bei **Immersive**, bemerkte, dass **SharePoint**-Dienste, insbesondere solche, die als interne Dokumentenspeicher dienen, eine Fundgrube für Bedrohungsakteure sein können, die Daten stehlen wollen, insbesondere Daten, die zur Erpressung von Lösegeldzahlungen mittels Double-Extortion-Techniken verwendet werden könnten. Er fügte hinzu, dass Bedrohungsakteure mit Zugriff auf **SharePoint**-Dienste präparierte Dokumente bereitstellen oder legitime Dokumente durch infizierte Versionen ersetzen könnten, um sich lateral im Unternehmen auszubreiten. ## Software-Patches von anderen Anbietern Zusätzlich zu **Microsoft** wurden in den letzten Wochen auch von anderen Anbietern Sicherheitsupdates veröffentlicht, um mehrere Schwachstellen zu beheben, darunter – * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Broadcom](https://support.broadcom.com/web/ecx/security-advisory) (einschließlich VMware) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [Citrix](https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Latest%20Security%20Bulletin) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [D-Link](https://supportannouncement.us.dlink.com/) * [Dassault Systèmes](https://www.3ds.com/trust-center/security/security-advisories) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [dormakaba](https://www.dormakabagroup.com/en/security-advisories) * [Drupal](https://www.drupal.org/security) * [Elastic](https://discuss.elastic.co/c/announcements/security-announcements/31) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortinet](https://www.fortiguard.com/psirt) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [FUJIFILM](https://www.fujifilm.com/fbglobal/eng/company/news/notice) * [Gigabyte](https://www.gigabyte.com/us/Support/Security) * [GitLab](https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-04-01) und [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [HP](https://support.hp.com/us-en/security-bulletins) * [HP Enterprise](https://support.hpe.com/connect/s/securitybulletinlibrary?language=en_US#sort=%40hpescuniversaldate%20descending&layout=table&numberOfResults=25&f:@kmdoclanguagecode=[cv1871440]&hpe=1) (einschließlich Aruba Networking und [Juniper Networks](https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&f:ctype=[Security%20Advisories])) * [Huawei](https://www.huawei.com/en/psirt/all-bulletins) * [IBM](https://www.ibm.com/support/pages/bulletin/) * [Ivanti](https://hub.ivanti.com/s/searchallcontent?language=en_US#q=CVE&sortCriteria=date%20descending&f-sfkbknowledgearticletypec=Security%20Advisory&f-commonlanguage=English) * [Jenkins](https://www.jenkins.io/security/advisories/) * [Lenovo](https://support.lenovo.com/us/en/product_security/ps500001-lenovo-product-security-advisories) * Linux Dist