外媒披露軟體商 SAP 發佈 19 個漏洞的安全更新,其中 5 個被評為嚴重漏洞。
此次修復的安全性漏洞影響多款 SAP 產品,這些漏洞主要影響 SAP Business Objects Business Intelligence Platform(CMC)和 SAP NetWeaver。
此次修復的五個嚴重漏洞如下:
- CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危(CVSS分數9.9)程式碼注入漏洞,允許攻擊者存取僅對特權用戶開放的資源,影響版本 420 和 430。
- CVE-2023-23857:嚴重程度(CVSS分數9.8)的資訊洩露、資料操縱和 DoS 漏洞,影響 SAP NetWeaver AS for Java 7.50 。該漏洞允許未經身份驗證的攻擊者連接到開放介面並通過目錄 API 存取服務來執行未經授權的操作。
- CVE-2023-27269:影響 SAP NetWeaver Application Server for ABAP 的嚴重性(CVSS 分數9.6)目錄遍歷漏洞。該漏洞允許非管理員使用者覆蓋系統檔,影響版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。
- CVE-2023-27500:APRSBRO 中的目錄遍歷漏洞,允許具有非管理許可權的攻擊者利用該漏洞重寫系統檔。在這種攻擊中,無法讀取任何資料,但可能會過度寫入關鍵 OS 檔,從而導致系統不可用。
- CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在嚴重性(CVSS 分數9.0)命令執行漏洞。該漏洞允許遠端攻擊者在特定條件下使用 BI Launchpad、中央管理主控台或基於公共 java SDK 的自訂應用程式在作業系統上執行任意命令。
除上述之外,SAP 還修復了其它四個高嚴重性漏洞以及十個中等嚴重性漏洞。
SAP 漏洞影響廣泛
SAP 是世界上最大的 ERP 供應商,在 180 個國家擁有 42.5 萬客戶,占全球市場24%。包含多家跨國企業使用 SAP的 ERP、SCM、PLM 和 CRM 解決方案。因此,這些安全漏洞是威脅攻擊者的絕佳目標,可以作為侵入企業系統的入口。
2022 年 2 月,美國網路安全和基礎設施安全局(CISA)敦促SAP修補一組影響 SAP 業務應用程式的嚴重漏洞,以防止資料被盜、勒索軟體攻擊以及任務關鍵流程和操作中斷。
本文轉載自bleeping computer。