本月SAP例行更新於8月13日發布,該公司總共修補17個漏洞,其中有2個為重大層級,4個為高風險層級,其餘漏洞的危險程度則列為中度風險。

根據CVSS風險評分,最嚴重的漏洞是CVE-2024-41730,此漏洞出現於商業智慧平臺BusinessObjects,起因是缺乏身分驗證的檢核,這項問題出現在啟用單一簽入(SSO)的企業環境,攻擊者可在未經身分驗證的情況下,利用REST端點竊得登入系統的憑證(Token),CVSS風險評為9.8分,影響430、440版系統。

SAP指出,攻擊者若成功利用漏洞,可能得以完全入侵該系統,從而嚴重影響系統的機密性、完整性,以及可用性。

另一個重大層級漏洞是CVE-2024-29415,此漏洞發生在SAP Build Apps打造的應用程式,為伺服器請求偽造(SSRF)漏洞,CVSS風險評為9.1。

這項漏洞涉及Node.js的IP元件缺陷,此元件用途是檢查IP位址是公開或是私有,在使用8進位表示127.0.0.1的時候,會將其識別為公開且全域可路由的IP位址。SAP指出,這項漏洞是先前另一個弱點CVE-2023-42282修補不全所致。

熱門新聞

Advertisement