[點晴模切ERP]2024年6月SAP系統高危漏洞預警
當前位置:點晴教程→點晴ERP企業管理信息系統
→『 經驗分享&操作答疑 』
漏洞1:SAP Financial Consolidation 中的跨站點腳本(XSS)漏洞 發布時間:11.06.2024 影響模塊:FICO 癥狀描述:SAP Financial Consolidation 允許數據通過不受信任的源輸入 Web 應用程序。這些端點通過網絡公開,允許用戶修改網站中的內容。在成功被利用時,攻擊者可能會對應用程序的保密性和完整性造成重大影響。 風險等級:高 解決方案:實施 SAP Note3457592 評估者:FICO顧問,Basis顧問 修復人: Basis顧問 受影響的組件版本:
參考note:3457592 點評:挺厲害的一個漏洞,受影響的系統最好盡快修復
漏洞2:SAP S/4HANA 中缺少權限檢查(管理收款文件) 發布時間:11.06.2024 影響模塊:FICO 癥狀描述: SAP S/4HANA 的管理收款文件 不會對已驗證的用戶執行必要的權限檢查,從而導致權限升級。這個漏洞對數據完整性的影響很大,不過對系統的保密性和可用性沒有影響。 風險等級:中高 解決方案:在note3466175里已提供了修正代碼 評估者:FICO顧問,ABAP顧問,basis顧問 修復人:Basis顧問,ABAP顧問 受影響的組件版本:
參考note:3466175 點評:Basis顧問先試試看能不能直接打這個note,如果不行的話再讓ABAP顧問上
漏洞3:SAP CRM (WebClient UI) 中的跨站點腳本 (XSS) 漏洞 發布時間:11.06.2024 影響模塊:CRM 癥狀描述: 由于輸入驗證不足,SAP CRM WebClient UI 允許未經驗證的攻擊者編寫嵌入惡意腳本的 URL 鏈接。當受害者單擊此鏈接時,腳本將在受害者的瀏覽器中執行,使攻擊者能夠訪問和/或修改信息,但不會影響應用程序的可用性。 風險等級:中 解決方案:在note3465129中已提供了修正代碼 評估者:CRM顧問,ABAP顧問,Basis顧問 修復人:Basis顧問,ABAP顧問 受影響的組件版本:
點評:還好還好,只是所有的S/4 HANA系統受到了影響。老規矩,Basis顧問先上,如果note打不了,ABAP顧問再上(note里有修復代碼)
漏洞4:SAP NetWeaver AS Java 中的信息披露漏洞 發布時間:11.06.2024 影響模塊:全模塊 癥狀描述: 允許未經驗證的用戶訪問有關服務器的非敏感信息,否則會受到限制,從而降低對應用程序保密性的影響。 風險等級:低 解決方案:note3425571中提供了臨時解決方案。如果想要永久解決,需要升級note里提到的組件版本 評估者:Basis顧問 修復人:Basis顧問 受影響的組件版本:
參考note:3425571 點評: 這個組件功能應該很少有企業用到吧
漏洞5:SAP Student Life Cycle Management (SLcM) 中缺少權限檢查 發布時間:11.06.2024 影響模塊:HR 癥狀描述: 未能對經過驗證的用戶進行適當的權限檢查,從而可能導致權限升級。在成功利用時,它可能允許攻擊者訪問和編輯通常受限的非敏感報表變式。 風險等級:低 解決方案:實施note3457265里的修正代碼,或者升級IS組件版本 評估者:HR顧問 修復人:Basis顧問或ABAP顧問 受影響的組件版本:
參考note:3457265 點評: 還好吧,國內上這個組件功能的企業應該不多
漏洞6:BW/4HANA 轉換和 DTP 中缺少權限檢查 發布時間:11.06.2024 影響模塊:BW 癥狀描述:BW/4HANA 轉換和數據傳輸流程 (DTP) 允許經過驗證的攻擊者通過利用不正確的權限檢查獲得比其應有的訪問級別更高的訪問級別。它對數據的保密性沒有影響,但可能會對應用程序的完整性和可用性產生較低的影響。 風險等級:高 解決方案:note3465455提供了兩種解決方案-使用note中的修正代碼,或者升級組件版本 評估者:BW顧問,Basis顧問,ABAP顧問 修復人:Basis顧問,ABAP顧問 受影響的組件版本:
參考note:3465455 點評: 如果使用的是經典BW產品無需理會,如果是BW/4 HANA的產品建議修復
漏洞7:銀行賬戶管理中缺少權限檢查 發布時間:11.06.2024 影響模塊:FICO 癥狀描述:SAP 銀行賬戶管理不會對授權用戶執行必要的權限檢查,因此降低了系統的保密性。 風險等級:高 解決方案:實施note3392049 評估者:FICO顧問 修復人:Basis顧問,ABAP顧問 受影響的組件版本:
參考note:3392049 點評: 恭喜S/4的業主們中標,該漏洞只針對/S4的全系產品。Basis顧問先試試note能不能直接打,如果不行的話再讓ABAP顧問上 來源:https://mp.weixin.qq.com/s/CvK3jFkeGpNl6hKs9IJQ0Q 點晴模切ERP更多信息:http://moqie.clicksun.cn,聯系電話:4001861886 該文章在 2024/7/2 11:09:06 編輯過 |
相關文章
正在查詢... 
|
400 186 1886
