根據SAP公告說明,Business One含有一項CVSS 3.0風險分數達9.9的安全漏洞,可讓攻擊者上傳惡意檔案,包括惡意腳本語言。影響產品為Business One version 10。(上圖僅為示意,圖片來源/SAP)

SAP本周釋出安全公告,以修補19項產品安全漏洞,包含位於中小企業產品Business One及NetWeaver 的3個風險層級9.0以上的重大漏洞。

這3個在SAP分類中被列為「Hot News」的重大風險漏洞,有2個是CVSS 3.0風險分數達9.9的漏洞。其中CVE-2021-33698存在於Business One,可讓攻擊者上傳惡意檔案,包括惡意腳本語言。影響產品為Business One version 10。

安全廠商Onapsis研究人員Thomas Fritsch指出,這項漏洞未被列為滿分10分的原因,是攻擊者還是需要有最小程度的授權。

另一個風險分數9.9的是CVE-2021-33690,為一個伺服器端請求偽造(Server Side Request Forgery,SSRF)漏洞,位於SAP NetWeaver Development Infrastructure(SAP NWDI)的Component Build Service servlet中,可讓攻擊者傳送惡意HTTP呼叫而驗證進入NetWeaver環境。SAP指出,這項漏洞影響高低取決於系統是位在內網或是對外曝露。如果已連上外部網際網路,這個漏洞將導致伺服器上的資料外洩,也可能影響系統服務。

第三個重大漏洞則是CVSS 3.0風險分數9.1的資料隱碼(SQL Injection)漏洞CVE-2021-33701,它位於SAP系統升級或轉換的管理工具 NZDT(Near-Zero Downtime Technology),可允許攻擊者在資料庫寫入惡意SQL指令,可造成資料外洩。該漏洞影響Data Migration Server(DMIS)行動外掛程式及SAP S/4HANA。

此外,SAP還修補了5個高風險漏洞,3個位於NetWeaver Enterprise Portal,Business One及SAP Fiori用戶端Android版App各有1個。

 

熱門新聞

Advertisement