当前位置:首页 > 安全预警 > 正文

SAP多个高危漏洞预警

发布时间:2021-08-19 22:39:05,来源:北京奇虎科技有限公司

      一、 基本情况

近日,SAP发布安全公告,修复了SAP Business One、SAP NetWeaver等产品中存在14个安全漏洞,其中包含7个高危漏洞,相关漏洞CVE编号为:CVE-2021-33698、CVE-2021-33690、CVE-2021-33701、CVE-2021-33702、CVE-2021-33703、CVE-2021-33705、CVE-2021-33700。攻击者可利用这些漏洞上传并执行恶意文件、远程执行任意代码和对任意系统发起请求。目前厂商已修复漏洞,建议受影响用户及时更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

SAP(System Applications and Products)是SAP(思爱普)公司开发的企业管理系列软件。

1. CVE-2021-33698:文件上传漏洞

该漏洞源于上传文件时验证不足,经过身份认证的远程攻击者可利用该漏洞上传并执行恶意文件。

2. CVE-2021-33690:服务端请求伪造漏洞

该漏洞源于对用户提供输入的验证不足,远程攻击者可通过发送特制的HTTP请求,欺骗应用对任意系统发起请求。

3. CVE-2021-33701:SQL注入漏洞

该漏洞允攻击者绕过安全策略并远程执行任意代码。

4. CVE-2021-33702:跨站脚本漏洞

该漏洞源于对用户提供数据的过滤不足,远程攻击者可通过诱导用户访问特制的链接,执行任意HTML或脚本代码。

5. CVE-2021-33703:跨站脚本漏洞

该漏洞源于对用户提供数据的过滤不足,远程攻击者可通过诱导用户访问特制的链接,执行任意HTML或脚本代码。

6. CVE-2021-33705:服务端请求伪造漏洞

该漏洞源于对用户提供输入的验证不足,远程攻击者可通过发送特制的HTTP请求,欺骗应用对任意系统发起请求。

7. CVE-2021-33700:身份认证缺失漏洞

该漏洞源于对关键功能的身份认证缺失,远程攻击者可绕过身份认证过程。

      四、 影响范围

1. CVE-2021-33698

SAP Business One 10.0

2. CVE-2021-33690

SAP NetWeaver Development Infrastructure  7.11,7.20,7.30,7.31,7.40,7.50

3. CVE-2021-33701

SAP NZDT DMIS Mobile Plug-In 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752, 2020

SAP S/4HANA SAPSCORE 125, S4CORE 102, 102, 103, 104, 105

4. CVE-2021-33702

SAP NetWeaver Enterprise Portal 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

5. CVE-2021-33703

SAP NetWeaver Enterprise Portal 7.30, 7.31, 7.40, 7.50

6. CVE-2021-33705

SAP NetWeaver Enterprise Portal 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50

7. CVE-2021-33700

SAP Business One 10.0

      五、 安全建议

目前厂商已修复漏洞,建议受影响用户及时升级至安全版本。

下载地址:

https://launchpad.support.sap.com/#/notes/3073681

      六、 参考链接

https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806