漏洞1:SAP NetWeaver Enterprise Portal (KMC) 中的跨站點(diǎn)腳本 (XSS) 漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:EP
癥狀描述:EP未對(duì)用戶控制的輸入進(jìn)行充分編碼,從而導(dǎo)致 KMC servlet 中出現(xiàn)跨站點(diǎn)腳本漏洞��。攻擊者可以制作腳本并欺騙用戶單擊它����。當(dāng)在門戶上注冊(cè)的受害者單擊此類鏈接時(shí),其 Web 瀏覽器會(huì)話的機(jī)密性和完整性可能會(huì)受到影響����。
風(fēng)險(xiǎn)評(píng)估:高
解決方案:note3503462
評(píng)估者:EP顧問
修復(fù)人: Basis顧問
受影響的組件版本:
點(diǎn)評(píng):雖然風(fēng)險(xiǎn)比較高����,但是受眾應(yīng)該很少
漏洞2:SAP NetWeaver AS for Java(目標(biāo)服務(wù))中的信息披露漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:JAVA
癥狀描述:SAP NetWeaver AS for Java 允許授權(quán)攻擊者獲取敏感信息�����。攻擊者可以在創(chuàng)建 RFC 目標(biāo)時(shí)獲取用戶名和密碼。成功利用后��,攻擊者可以讀取敏感信息�����。
風(fēng)險(xiǎn)評(píng)估:高
解決方案:note3477359
評(píng)估者: basis顧問
修復(fù)人:Basis顧問
受影響的組件版本:
點(diǎn)評(píng):受影響面不是很廣����,如果防火墻和殺毒都做到位了���,其實(shí)也還好
漏洞3:SAP HANA 客戶端中的原型污染漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:HANA
癥狀描述:使用 nestTables 選項(xiàng)和 __proto__ 作為表名稱時(shí),可能會(huì)出現(xiàn)原型污染����,導(dǎo)致可以訪問任何表。
風(fēng)險(xiǎn)評(píng)估:中
解決方案:更新hana client的版本
評(píng)估者:Basis顧問
修復(fù)人:Basis顧問
受影響的組件版本:
點(diǎn)評(píng):不是什么很可怕的問題
漏洞4:SAP 企業(yè)項(xiàng)目連接中的多個(gè)漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:CA
癥狀描述: SAP Enterprise Project Connection 使用 Spring Framework 和 Log4j 開源庫(kù)的版本,這些版本可能易受本 SAP Security Note 的“其他術(shù)語(yǔ)”部分中提到的 CVE 的影響��。
風(fēng)險(xiǎn)評(píng)估:低
解決方案:note3523541
評(píng)估者:Basis顧問
修復(fù)人:Basis顧問
受影響的組件版本:
點(diǎn)評(píng): 99%的用戶都不會(huì)受到影響的漏洞
漏洞5:SAP Replication Server (FOSS) 中存在多個(gè)漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:全模塊
癥狀描述:SAP Replication Server 不受漏洞影響,因?yàn)樗粫?huì)使用 FOSS 中受影響的易受攻擊功能��。但是開放源碼軟件會(huì)讓安裝的環(huán)境變得容易被攻擊。
風(fēng)險(xiǎn)評(píng)估:中
解決方案:參考note3495876���,升級(jí) OpenSSL 1.1.1w 和 Spring Framework 5.3.31
評(píng)估者:開發(fā)人員
修復(fù)人:開發(fā)人員
受影響的組件版本:
點(diǎn)評(píng):開源的結(jié)構(gòu)受到影響應(yīng)該不會(huì)特別大
漏洞6:面向 ABAP SAP NetWeaver Application Server 中的信息披露漏洞
發(fā)布時(shí)間:08.10.2024
影響模塊:全模塊
癥狀描述:平臺(tái)允許攻擊者在沒有進(jìn)一步授權(quán)的情況下訪問啟用遠(yuǎn)程的功能模塊。
風(fēng)險(xiǎn)評(píng)估:極高
解決方案:note3454858����,目前只有臨時(shí)的解決方案
評(píng)估者: Basis顧問
修復(fù)人: Basis顧問
受影響的組件版本:
點(diǎn)評(píng): 這個(gè)漏洞的風(fēng)險(xiǎn)就非常高了����,涉及到的SAP版本也很多,從最老的700版本到最新的S/4 2023都有涉及����,建議盡快修復(fù)
來(lái)源:https://mp.weixin.qq.com/s/ZR7TunU18THJ9B_hAoiHbw
該文章在 2024/11/2 17:54:49 編輯過
400 186 1886
