发布时间:2021-08-19 22:39:05,来源:北京奇虎科技有限公司
近日,SAP发布安全公告,修复了SAP Business One、SAP NetWeaver等产品中存在14个安全漏洞,其中包含7个高危漏洞,相关漏洞CVE编号为:CVE-2021-33698、CVE-2021-33690、CVE-2021-33701、CVE-2021-33702、CVE-2021-33703、CVE-2021-33705、CVE-2021-33700。攻击者可利用这些漏洞上传并执行恶意文件、远程执行任意代码和对任意系统发起请求。目前厂商已修复漏洞,建议受影响用户及时更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
SAP(System Applications and Products)是SAP(思爱普)公司开发的企业管理系列软件。
1. CVE-2021-33698:文件上传漏洞
该漏洞源于上传文件时验证不足,经过身份认证的远程攻击者可利用该漏洞上传并执行恶意文件。
2. CVE-2021-33690:服务端请求伪造漏洞
该漏洞源于对用户提供输入的验证不足,远程攻击者可通过发送特制的HTTP请求,欺骗应用对任意系统发起请求。
3. CVE-2021-33701:SQL注入漏洞
该漏洞允攻击者绕过安全策略并远程执行任意代码。
4. CVE-2021-33702:跨站脚本漏洞
该漏洞源于对用户提供数据的过滤不足,远程攻击者可通过诱导用户访问特制的链接,执行任意HTML或脚本代码。
5. CVE-2021-33703:跨站脚本漏洞
该漏洞源于对用户提供数据的过滤不足,远程攻击者可通过诱导用户访问特制的链接,执行任意HTML或脚本代码。
6. CVE-2021-33705:服务端请求伪造漏洞
该漏洞源于对用户提供输入的验证不足,远程攻击者可通过发送特制的HTTP请求,欺骗应用对任意系统发起请求。
7. CVE-2021-33700:身份认证缺失漏洞
该漏洞源于对关键功能的身份认证缺失,远程攻击者可绕过身份认证过程。
1. CVE-2021-33698
SAP Business One 10.0
2. CVE-2021-33690
SAP NetWeaver Development Infrastructure 7.11,7.20,7.30,7.31,7.40,7.50
3. CVE-2021-33701
SAP NZDT DMIS Mobile Plug-In 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752, 2020
SAP S/4HANA SAPSCORE 125, S4CORE 102, 102, 103, 104, 105
4. CVE-2021-33702
SAP NetWeaver Enterprise Portal 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
5. CVE-2021-33703
SAP NetWeaver Enterprise Portal 7.30, 7.31, 7.40, 7.50
6. CVE-2021-33705
SAP NetWeaver Enterprise Portal 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
7. CVE-2021-33700
SAP Business One 10.0
目前厂商已修复漏洞,建议受影响用户及时升级至安全版本。
下载地址:
https://launchpad.support.sap.com/#/notes/3073681
https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806