漏洞1:SAP Financial Consolidation 中的跨站點(diǎn)腳本(XSS)漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述:SAP Financial Consolidation 允許數(shù)據(jù)通過不受信任的源輸入 Web 應(yīng)用程序。這些端點(diǎn)通過網(wǎng)絡(luò)公開,允許用戶修改網(wǎng)站中的內(nèi)容�。在成功被利用時(shí),攻擊者可能會(huì)對(duì)應(yīng)用程序的保密性和完整性造成重大影響��。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施 SAP Note3457592
評(píng)估者:FICO顧問����,Basis顧問
修復(fù)人: Basis顧問
受影響的組件版本:
參考note:3457592
點(diǎn)評(píng):挺厲害的一個(gè)漏洞�,受影響的系統(tǒng)最好盡快修復(fù)
漏洞2:SAP S/4HANA 中缺少權(quán)限檢查(管理收款文件)
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述: SAP S/4HANA 的管理收款文件 不會(huì)對(duì)已驗(yàn)證的用戶執(zhí)行必要的權(quán)限檢查,從而導(dǎo)致權(quán)限升級(jí)���。這個(gè)漏洞對(duì)數(shù)據(jù)完整性的影響很大,不過對(duì)系統(tǒng)的保密性和可用性沒有影響�����。
風(fēng)險(xiǎn)等級(jí):中高
解決方案:在note3466175里已提供了修正代碼
評(píng)估者:FICO顧問���,ABAP顧問���,basis顧問
修復(fù)人:Basis顧問,ABAP顧問
受影響的組件版本:
參考note:3466175
點(diǎn)評(píng):Basis顧問先試試看能不能直接打這個(gè)note�,如果不行的話再讓ABAP顧問上
漏洞3:SAP CRM (WebClient UI) 中的跨站點(diǎn)腳本 (XSS) 漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:CRM
癥狀描述: 由于輸入驗(yàn)證不足,SAP CRM WebClient UI 允許未經(jīng)驗(yàn)證的攻擊者編寫嵌入惡意腳本的 URL 鏈接�。當(dāng)受害者單擊此鏈接時(shí),腳本將在受害者的瀏覽器中執(zhí)行���,使攻擊者能夠訪問和/或修改信息�����,但不會(huì)影響應(yīng)用程序的可用性�。
風(fēng)險(xiǎn)等級(jí):中
解決方案:在note3465129中已提供了修正代碼
評(píng)估者:CRM顧問,ABAP顧問�����,Basis顧問
修復(fù)人:Basis顧問�����,ABAP顧問
受影響的組件版本:
點(diǎn)評(píng):還好還好��,只是所有的S/4 HANA系統(tǒng)受到了影響�。老規(guī)矩,Basis顧問先上�����,如果note打不了�,ABAP顧問再上(note里有修復(fù)代碼)
漏洞4:SAP NetWeaver AS Java 中的信息披露漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:全模塊
癥狀描述: 允許未經(jīng)驗(yàn)證的用戶訪問有關(guān)服務(wù)器的非敏感信息,否則會(huì)受到限制�����,從而降低對(duì)應(yīng)用程序保密性的影響���。
風(fēng)險(xiǎn)等級(jí):低
解決方案:note3425571中提供了臨時(shí)解決方案�����。如果想要永久解決��,需要升級(jí)note里提到的組件版本
評(píng)估者:Basis顧問
修復(fù)人:Basis顧問
受影響的組件版本:
參考note:3425571
點(diǎn)評(píng): 這個(gè)組件功能應(yīng)該很少有企業(yè)用到吧
漏洞5:SAP Student Life Cycle Management (SLcM) 中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:HR
癥狀描述: 未能對(duì)經(jīng)過驗(yàn)證的用戶進(jìn)行適當(dāng)?shù)臋?quán)限檢查,從而可能導(dǎo)致權(quán)限升級(jí)����。在成功利用時(shí),它可能允許攻擊者訪問和編輯通常受限的非敏感報(bào)表變式�。
風(fēng)險(xiǎn)等級(jí):低
解決方案:實(shí)施note3457265里的修正代碼,或者升級(jí)IS組件版本
評(píng)估者:HR顧問
修復(fù)人:Basis顧問或ABAP顧問
受影響的組件版本:
參考note:3457265
點(diǎn)評(píng): 還好吧����,國內(nèi)上這個(gè)組件功能的企業(yè)應(yīng)該不多
漏洞6:BW/4HANA 轉(zhuǎn)換和 DTP 中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:BW
癥狀描述:BW/4HANA 轉(zhuǎn)換和數(shù)據(jù)傳輸流程 (DTP) 允許經(jīng)過驗(yàn)證的攻擊者通過利用不正確的權(quán)限檢查獲得比其應(yīng)有的訪問級(jí)別更高的訪問級(jí)別。它對(duì)數(shù)據(jù)的保密性沒有影響�,但可能會(huì)對(duì)應(yīng)用程序的完整性和可用性產(chǎn)生較低的影響。
風(fēng)險(xiǎn)等級(jí):高
解決方案:note3465455提供了兩種解決方案-使用note中的修正代碼��,或者升級(jí)組件版本
評(píng)估者:BW顧問��,Basis顧問�����,ABAP顧問
修復(fù)人:Basis顧問��,ABAP顧問
受影響的組件版本:
參考note:3465455
點(diǎn)評(píng): 如果使用的是經(jīng)典BW產(chǎn)品無需理會(huì)�,如果是BW/4 HANA的產(chǎn)品建議修復(fù)
漏洞7:銀行賬戶管理中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述:SAP 銀行賬戶管理不會(huì)對(duì)授權(quán)用戶執(zhí)行必要的權(quán)限檢查��,因此降低了系統(tǒng)的保密性����。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施note3392049
評(píng)估者:FICO顧問
修復(fù)人:Basis顧問�����,ABAP顧問
受影響的組件版本:
參考note:3392049
點(diǎn)評(píng): 恭喜S/4的業(yè)主們中標(biāo),該漏洞只針對(duì)/S4的全系產(chǎn)品�����。Basis顧問先試試note能不能直接打����,如果不行的話再讓ABAP顧問上
來源:https://mp.weixin.qq.com/s/CvK3jFkeGpNl6hKs9IJQ0Q
點(diǎn)晴模切ERP更多信息:http://moqie.clicksun.cn,聯(lián)系電話:4001861886
該文章在 2024/7/2 11:09:06 編輯過
400 186 1886
