漏洞1:SAP Financial Consolidation 中的跨站點(diǎn)腳本(XSS)漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述:SAP Financial Consolidation 允許數(shù)據(jù)通過(guò)不受信任的源輸入 Web 應(yīng)用程序����。這些端點(diǎn)通過(guò)網(wǎng)絡(luò)公開(kāi),允許用戶修改網(wǎng)站中的內(nèi)容��。在成功被利用時(shí)�����,攻擊者可能會(huì)對(duì)應(yīng)用程序的保密性和完整性造成重大影響���。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施 SAP Note3457592
評(píng)估者:FICO顧問(wèn)����,Basis顧問(wèn)
修復(fù)人: Basis顧問(wèn)
受影響的組件版本:
參考note:3457592
點(diǎn)評(píng):挺厲害的一個(gè)漏洞�����,受影響的系統(tǒng)最好盡快修復(fù)
漏洞2:SAP S/4HANA 中缺少權(quán)限檢查(管理收款文件)
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述: SAP S/4HANA 的管理收款文件 不會(huì)對(duì)已驗(yàn)證的用戶執(zhí)行必要的權(quán)限檢查,從而導(dǎo)致權(quán)限升級(jí)���。這個(gè)漏洞對(duì)數(shù)據(jù)完整性的影響很大���,不過(guò)對(duì)系統(tǒng)的保密性和可用性沒(méi)有影響。
風(fēng)險(xiǎn)等級(jí):中高
解決方案:在note3466175里已提供了修正代碼
評(píng)估者:FICO顧問(wèn)�����,ABAP顧問(wèn)�����,basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)����,ABAP顧問(wèn)
受影響的組件版本:
參考note:3466175
點(diǎn)評(píng):Basis顧問(wèn)先試試看能不能直接打這個(gè)note���,如果不行的話再讓ABAP顧問(wèn)上
漏洞3:SAP CRM (WebClient UI) 中的跨站點(diǎn)腳本 (XSS) 漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:CRM
癥狀描述: 由于輸入驗(yàn)證不足�,SAP CRM WebClient UI 允許未經(jīng)驗(yàn)證的攻擊者編寫(xiě)嵌入惡意腳本的 URL 鏈接���。當(dāng)受害者單擊此鏈接時(shí)�,腳本將在受害者的瀏覽器中執(zhí)行,使攻擊者能夠訪問(wèn)和/或修改信息�,但不會(huì)影響應(yīng)用程序的可用性。
風(fēng)險(xiǎn)等級(jí):中
解決方案:在note3465129中已提供了修正代碼
評(píng)估者:CRM顧問(wèn)����,ABAP顧問(wèn),Basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)���,ABAP顧問(wèn)
受影響的組件版本:
點(diǎn)評(píng):還好還好�����,只是所有的S/4 HANA系統(tǒng)受到了影響��。老規(guī)矩���,Basis顧問(wèn)先上,如果note打不了��,ABAP顧問(wèn)再上(note里有修復(fù)代碼)
漏洞4:SAP NetWeaver AS Java 中的信息披露漏洞
發(fā)布時(shí)間:11.06.2024
影響模塊:全模塊
癥狀描述: 允許未經(jīng)驗(yàn)證的用戶訪問(wèn)有關(guān)服務(wù)器的非敏感信息����,否則會(huì)受到限制,從而降低對(duì)應(yīng)用程序保密性的影響���。
風(fēng)險(xiǎn)等級(jí):低
解決方案:note3425571中提供了臨時(shí)解決方案����。如果想要永久解決,需要升級(jí)note里提到的組件版本
評(píng)估者:Basis顧問(wèn)
修復(fù)人:Basis顧問(wèn)
受影響的組件版本:
參考note:3425571
點(diǎn)評(píng): 這個(gè)組件功能應(yīng)該很少有企業(yè)用到吧
漏洞5:SAP Student Life Cycle Management (SLcM) 中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:HR
癥狀描述: 未能對(duì)經(jīng)過(guò)驗(yàn)證的用戶進(jìn)行適當(dāng)?shù)臋?quán)限檢查���,從而可能導(dǎo)致權(quán)限升級(jí)�����。在成功利用時(shí)�,它可能允許攻擊者訪問(wèn)和編輯通常受限的非敏感報(bào)表變式���。
風(fēng)險(xiǎn)等級(jí):低
解決方案:實(shí)施note3457265里的修正代碼�,或者升級(jí)IS組件版本
評(píng)估者:HR顧問(wèn)
修復(fù)人:Basis顧問(wèn)或ABAP顧問(wèn)
受影響的組件版本:
參考note:3457265
點(diǎn)評(píng): 還好吧���,國(guó)內(nèi)上這個(gè)組件功能的企業(yè)應(yīng)該不多
漏洞6:BW/4HANA 轉(zhuǎn)換和 DTP 中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:BW
癥狀描述:BW/4HANA 轉(zhuǎn)換和數(shù)據(jù)傳輸流程 (DTP) 允許經(jīng)過(guò)驗(yàn)證的攻擊者通過(guò)利用不正確的權(quán)限檢查獲得比其應(yīng)有的訪問(wèn)級(jí)別更高的訪問(wèn)級(jí)別��。它對(duì)數(shù)據(jù)的保密性沒(méi)有影響,但可能會(huì)對(duì)應(yīng)用程序的完整性和可用性產(chǎn)生較低的影響����。
風(fēng)險(xiǎn)等級(jí):高
解決方案:note3465455提供了兩種解決方案-使用note中的修正代碼���,或者升級(jí)組件版本
評(píng)估者:BW顧問(wèn),Basis顧問(wèn)�,ABAP顧問(wèn)
修復(fù)人:Basis顧問(wèn),ABAP顧問(wèn)
受影響的組件版本:
參考note:3465455
點(diǎn)評(píng): 如果使用的是經(jīng)典BW產(chǎn)品無(wú)需理會(huì)�����,如果是BW/4 HANA的產(chǎn)品建議修復(fù)
漏洞7:銀行賬戶管理中缺少權(quán)限檢查
發(fā)布時(shí)間:11.06.2024
影響模塊:FICO
癥狀描述:SAP 銀行賬戶管理不會(huì)對(duì)授權(quán)用戶執(zhí)行必要的權(quán)限檢查�����,因此降低了系統(tǒng)的保密性��。
風(fēng)險(xiǎn)等級(jí):高
解決方案:實(shí)施note3392049
評(píng)估者:FICO顧問(wèn)
修復(fù)人:Basis顧問(wèn)����,ABAP顧問(wèn)
受影響的組件版本:
參考note:3392049
點(diǎn)評(píng): 恭喜S/4的業(yè)主們中標(biāo),該漏洞只針對(duì)/S4的全系產(chǎn)品����。Basis顧問(wèn)先試試note能不能直接打,如果不行的話再讓ABAP顧問(wèn)上
來(lái)源:https://mp.weixin.qq.com/s/CvK3jFkeGpNl6hKs9IJQ0Q
點(diǎn)晴模切ERP更多信息:http://moqie.clicksun.cn��,聯(lián)系電話:4001861886
該文章在 2024/7/2 11:09:06 編輯過(guò)
400 186 1886
