SAP厂商发现系统命令注入高危漏洞,需要尽快升级

10月13日,SAP安全补丁日发布了15个安全更新说明。根据安全公告显示,SAP产品中发现了多个高危漏洞,其中包括一个CVSS评分为10.0(满分为10.0)的系统命令注入高危漏洞,需要尽快升级。以下是漏洞详情:

SAP厂商发现系统命令注入高危漏洞,需要尽快升级 图1

漏洞详情

1.CVEID:CVE-2020-6364CVSS评分:10.0危急

SAPSolutionManager是SAP公司一套集系统监控,SAP支持桌面,自助服务,ASAP实施等多个功能为一体的系统管理平台。CAIntroscopeEnterpriseManager是SAP系统管理平台企业管理器。SAPFocusedRun是SAP公司提供的数据中心和大客户系统运维管理方案(高容量监控,警报,诊断和分析的终极解决方案)。

CAIntroscopeEnterpriseManager中存在系统命令注入漏洞,攻击者可获取直接运行系统命令的能力。

受影响的产品:SAPSolutionManager(CAIntroscopeEnterpriseManager)和SAPFocusedRun(CAIntroscopeEnterpriseManager),版本-WILY_INTRO_ENTERPRISE9.7、10.1、10.5、10.7

2.CVEID:CVE-2020-6228CVSS评分:9.8高危

SAPBusinessClient是SAP公司的一款用户管理界面。该产品为不同的SAP业务应用程序提供管理接口,用于管理SAP产品。SAPBusinessClient6.5,7.0版本中存在安全漏洞,不执行必要的完整性检查。在某些情况下攻击者可能会利用该完整性检查来修改安装程序,访问被限制的信息。

受影响的产品:SAPBusinessClient6.5,7.0版本

3.CVEID:CVE-2020-6296CVSS评分:8.3高危

SAPNetWeaver是SAP公司基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。

ABAP是高级业务应用程序编程,4GL(第4代)语言。目前,它与Java一起被定位为SAP应用服务器编程的主要语言。

SAPNetWeaver(ABAPServer)和ABAP平台存在代码注入漏洞。SAPNetWeaver(ABAPServer)和ABAP平台版本-700、701、702、710、711、730、731、740、750、751、753、755,允许攻击者注入可以由应用程序执行的代码,导致代码注入。因此,攻击者可以控制应用程序的行为。

受影响的产品:SAPNetWeaver(ABAPServer)和ABAP平台版本700、701、702、710、711、730、731、740、750、751、753、755

4.CVEID:CVE-2020-6367CVSS评分:8.2高危

SAPNetWeaver复合应用程序框架产品中存在跨站点脚本(XSS)漏洞。

受影响的产品:SAPNetWeaver复合应用程序框架,版本-7.20、7.30、7.31、7.40、7.50

5.CVEID:CVE-2020-6366CVSS评分:7.6高

SAPNetWeaver产品-SAPNetWeaver(CompareSystems)缺少XML验证,容易被攻击者发起XML注入攻击。

受影响的产品:SAPNetWeaver(CompareSystems)版本7.20、7.30、7.31、7.40、7.50

解决方案

SAP产品安全响应团队修复了SAP产品中发现的漏洞。SAP强烈建议客户访问SupportPortal(支持门户)并优先应用补丁程序以保护其SAP环境。

相关新闻

  • SAP实施商有哪些?哪个好?

    SAP实施商有哪些?哪个好?

    现在ERP业界提供实施服务的公司参差不齐,大多数选择SАР系统软件的客户都不知道选择哪家SAP实施商好,根据客户反馈的信息及自身实施服务效果,赛锐信息告诉您怎么选择SАР实施商。 其一,先看是否有SAP官方认可。 ERP实施商的选择,有官方认可的实施商证明其具备扎实的实施能力,选择之前可以查询其是否能出具相关证明,以备参考。 值得一提的是,SAP合作伙伴是有金牌、银牌、铜牌等级之分的,每一个级别的确认都是经过SAP官方层层考核,作为SAP金牌合作伙伴的河南赛锐信息技术有限公司,从实施、开发到维护…

    行业动态 2020/11/23
  • SAP License:B2B电商发展新趋势 图1

    B2B电商发展新趋势

    B2B电商发展新趋势 正处在大数据时代的我们,生活和工作已经和大数据融为一体。大数据成就了经济发展,经济的繁荣又促使了信息科技的发展,二者相辅相成。可以说,在当今,新的零售时代,B2B电子商务已经成了一股不可抗拒的潮流。那么B2B电商究竟有哪些新的发展趋势呢? B2B新趋势一:大数据应用。 B2B电商平台把累积的数据加以利用,将产生巨大的价值。如通过用户采购交易行为,推荐匹配的上下游合作商,为平台用户带来更多商机。而且,大数据分析可以提供供应链产品价格指数、价格趋势,将有效提升采购交易效率,降低…

    行业动态 2023/09/20
  • SAP License:B2B电商平台之灵活的价格策略 图1

    SAP License:B2B电商平台之灵活的价格策略

    赛锐云商最新推出的B2B电商订货平台“赛锐云”,具备完整的商品展示的B2B批发商城、灵活的价格策略、全程订单跟踪,以及便捷的资金结算等特点。 赛锐云它为企业提供了一个强大的B2B电商订货系统,帮助经销商或客户实现全程订单管理、轻松网上下单、实时了解库存信息、在线了解价格政策、方便快捷的资金支付,让企业的生意迅速动起来。 B2B电商订货系统——灵活的价格策略 传统模式下,企业针对经销商与客户的价格政策通常以邮件的方式分别进行通知,现在通过赛锐云B2B商城,企业就可以针对不同的经销商与客户设计不同的…

    行业动态 2023/02/27
  • SAP License:SAP电话面试

    SAP License:SAP电话面试

    HG:HR girl ST:SAP权限管控 Xuebi:某著名石油公司的首席SAP财务顾问,CAP. 电话响…… HG:Hello, Is that Mr. Zhang. ST:Yeah,This”s SAP tufu speaking,Who is that? HG:I am HR girl from XXX company.. ST:感情是这样,中国人?咱还是说中国话吧,OK? HG:这是家外资企业,英文流利是必需的. ST:我知,我在几家外资公司呆过,通常情况是这样的,反正老外…

    行业动态 2021/03/26
  • SAP License:税-你知道多少?

    SAP License:税-你知道多少?

    税收很复杂,有些同志专门还问这个问题,现在小小的整理一下,希望大家喜欢。 【原文】 公司纳税情况参考: 1、营业税=销售收入*5%(建筑、交通、邮电通讯、文化体育业3%) 2、城建税=营业税税额*7%(城市7%,县城5%,工矿区3%) 3、教育附加=营业税税额*3% 4、个人所得税(工资薪金所得)=(月工资薪金总额—2000)*适用税率—速算扣除数 1)不超过500元的部分,税率5%,速算扣除数为0; 2)超过500元至2000元的部分,税率10%,速算扣除数为25 3)超过2000元至5000…

    行业动态 2021/05/07
  • SAP License:ERP选型重点三要素 图1

    SAP License:ERP选型重点三要素

    赛锐信息团队在接待A企业老板时候,老板开门见山就说,最令他纠结的是ERP选型。比较激进一些的人就说:上ERP就好比,在冬天穿一件湿衣服,不脱冷,脱了更冷。有的企业喜欢国外的ERP,但是具体选着哪一个,无从所知。企业选择ERP的时候,无论是本土品牌还是国外品牌。ERP选型主要是从三个因素着手,一是技术、二是架构、三是服务。 ERP以技术为纲 质量是ERP产品的本,技术是ERP产品的根本。Oracle从低端到高端的所有电子商务及ERP解决方案全部都基于Internet应用体系结构,这都代表了ERP …

    行业动态 2022/05/15
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部