SAP本周發(fā)布了最新的安全補丁集���,總共帶來了23個安全說明�,其中有5個解決了熱門新聞漏洞�。
最重要的缺陷是SAP Commerce中缺少一個XML驗證漏洞。該漏洞跟蹤為CVE-2020-6238����,CVSS評分為9.3,可以遠程利用此漏洞��,并且不需要身份驗證�。
能夠成功利用安全問題的攻擊者可以從系統(tǒng)讀取敏感文件和數據。在某些受限場景����,攻擊者甚至可以影響可用性,Onapsis���,專門在確保SAP和Oracle軟件的堅定��,揭示����。
作為2020年4月SAP安全補丁日的一部分發(fā)布的另一項熱門新聞安全說明,解決了SAP NetWeaver中的目錄遍歷漏洞(CVE-2020-6225���,CVSS評分為9.1)�。
問題出在NetWeaver知識管理中�,這是一個集中訪問點,允許用戶瀏覽文件夾��,管理文件等�。Onapsis解釋說,它還允許用戶上傳文件�,但是對輸入的驗證不足可能會使攻擊者“覆蓋,刪除或破壞任意文件”���。
另一個熱門新聞安全說明解決了SAP BusinessObjects Business Intelligence平臺中的反序列化漏洞����,該漏洞可能導致遠程命令執(zhí)行�����。跟蹤為CVE-2020-6219(CVSS分數9.1)����,此問題允許對特定組件的參數進行操作。
SAP還發(fā)布了熱點新聞安全說明���,以解決OrientDB 3.0中的代碼注入漏洞����。漏洞跟蹤為CVE-2020-6230���,CVSS評分為9.1����,需要身份驗證和腳本執(zhí)行特權����。
2020年4月安全補丁程序日發(fā)布的第五個安全說明是對2019年11月補丁程序日發(fā)布的補丁程序的更新,該補丁程序解決了SAP Diagnostics Agent中的OS命令注入漏洞(CVE-2019-0330��,CVSS評分為9.1)�。
作為2020年4月補丁日的一部分,總共發(fā)布了五份“高優(yōu)先級安全說明”��,其中最重要的是SAP解決方案管理器(診斷代理)中缺少身份驗證檢查���。
此漏洞跟蹤為CVE-2020-6235�����,CVSS評分為8.6����,該漏洞可能允許攻擊者讀取敏感信息或濫用組件中缺少身份驗證檢查的權限來訪問管理或其他特權功能。
SAP已解決的其他高優(yōu)先級錯誤包括Business Objects Business Intelligence平臺(CVE-2020-6237)中的信息披露問題以及Host Agent(CVE-2020-6234)和Landscape Management 3.0 / SAP Adaptive Extensions(CVE)中的特權提升漏洞-2020-6236)�����。
第五個高優(yōu)先級說明是對2020年3月補丁日發(fā)布的安全說明的更新�,該更新解決了Business Objects Business Intelligence平臺(Crystal Reports)中的遠程代碼執(zhí)行錯誤,跟蹤為CVE-2020-6208��,CVSS評分為8.1�。
其余所有安全說明解決了Business Objects Business Intelligence平臺,ERP&S / 4 HANA�����,NetWeaver�,F(xiàn)iori Launchpad��,Business Client���,S / 4 HANA和SAP Commerce中的中等優(yōu)先級漏洞�。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
