SAP厂商发现系统命令注入高危漏洞，需要尽快升级

行业动态 2020/10/13 21:33 656

10月13日，SAP安全补丁日发布了15个安全更新说明。根据安全公告显示，SAP产品中发现了多个高危漏洞，其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞，需要尽快升级。以下是漏洞详情：

SAP厂商发现系统命令注入高危漏洞，需要尽快升级图1

漏洞详情

1.CVEID：CVE-2020-6364CVSS评分：10.0危急

SAPSolutionManager是SAP公司一套集系统监控，SAP支持桌面，自助服务，ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控，警报，诊断和分析的终极解决方案)。

CAIntroscopeEnterpriseManager中存在系统命令注入漏洞，攻击者可获取直接运行系统命令的能力。

受影响的产品：SAPSolutionManager（CAIntroscopeEnterpriseManager）和SAPFocusedRun（CAIntroscopeEnterpriseManager），版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7

2.CVEID：CVE-2020-6228CVSS评分：9.8高危

SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口，用于管理SAP产品。SAPBusinessClient6.5，7.0版本中存在安全漏洞，不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序，访问被限制的信息。

受影响的产品：SAPBusinessClient6.5，7.0版本

3.CVEID：CVE-2020-6296CVSS评分：8.3高危

SAPNetWeaver是SAP公司基于专业标准的集成化应用平台，能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。

ABAP是高级业务应用程序编程，4GL(第4代)语言。目前，它与Java一起被定位为SAP应用服务器编程的主要语言。

SAPNetWeaver（ABAPServer）和ABAP平台存在代码注入漏洞。SAPNetWeaver（ABAPServer）和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755，允许攻击者注入可以由应用程序执行的代码，导致代码注入。因此，攻击者可以控制应用程序的行为。

受影响的产品：SAPNetWeaver（ABAPServer）和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755

4.CVEID：CVE-2020-6367CVSS评分：8.2高危

SAPNetWeaver复合应用程序框架产品中存在跨站点脚本（XSS）漏洞。

受影响的产品：SAPNetWeaver复合应用程序框架，版本-7.20、7.30、7.31、7.40、7.50

5.CVEID：CVE-2020-6366CVSS评分：7.6高

SAPNetWeaver产品-SAPNetWeaver（CompareSystems）缺少XML验证，容易被攻击者发起XML注入攻击。

受影响的产品：SAPNetWeaver（CompareSystems）版本7.20、7.30、7.31、7.40、7.50

解决方案

SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal（支持门户）并优先应用补丁程序以保护其SAP环境。

SAP License：ERP企业资源计划

企业资源计划即 ERP (Enterprise Resource Planning)，由美国 Gartner Group 公司于1990年提出。企业资源计划是 MRP II（企业制造资源计划）下一代的制造业系统和资源计划软件。除了MRP II 已有的生产资源计划、制造、财务、销售、采购等功能外，还有质量管理，实验室管理，业务流程管理，产品数据管理，存货、分销与运输管理，人力资源管理和定期报告系统。目前，在我国 ERP 所代表的含义已经被扩大，用于企业的各类软件，已经统统被纳入 ERP 的范畴。它…

行业动态 2022/02/04