SAP 修復(fù)五個高危漏洞

發(fā)布時間 2023-03-16

Bleeping Computer 網(wǎng)站披露,軟件供應(yīng)商 SAP 發(fā)布了 19 個漏洞的安全更新,其中 5 個被評為高危漏洞。


此次修復(fù)的安全漏洞影響多款 SAP 產(chǎn)品,其中高危漏洞主要影響 SAP Business Objects Business Intelligence Platform(CMC)和 SAP NetWeaver。


此次修復(fù)的五個高危漏洞如下:


CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危(CVSS v3:9.9)代碼注入漏洞,允許攻擊者訪問僅對特權(quán)用戶開放的資源,影響版本 420 和 430。


CVE-2023-23857:嚴(yán)重程度(CVSS v3:9.8)的信息泄露、數(shù)據(jù)操縱和 DoS 漏洞,影響 SAP NetWeaver AS for Java 7.50 。該漏洞允許未經(jīng)身份驗證的攻擊者連接到開放接口并通過目錄 API 訪問服務(wù)來執(zhí)行未經(jīng)授權(quán)的操作。


CVE-2023-27269:影響 SAP  NetWeaver Application Server for ABAP 的嚴(yán)重性(CVSS v3:9.6)目錄遍歷漏洞。該漏洞允許非管理員用戶覆蓋系統(tǒng)文件,影響版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。


CVE-2023-27500:APRSBRO 中的目錄遍歷漏洞,允許具有非管理權(quán)限的攻擊者利用該漏洞重寫系統(tǒng)文件。在這種攻擊中,無法讀取任何數(shù)據(jù),但可能會過度寫入關(guān)鍵 OS 文件,從而導(dǎo)致系統(tǒng)不可用。


CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在嚴(yán)重性(CVSS v3:9.0)命令執(zhí)行漏洞。該漏洞允許遠(yuǎn)程攻擊者在特定條件下使用 BI Launchpad、中央管理控制臺或基于公共 java SDK 的自定義應(yīng)用程序在操作系統(tǒng)上執(zhí)行任意命令。


除上述之外,SAP 還修復(fù)了其它四個高嚴(yán)重性漏洞以及十個中等嚴(yán)重性漏洞。