SAP揭露重大層級漏洞，攻擊者可趁機繞過身分驗證

本月SAP例行更新於8月13日發布，該公司總共修補17個漏洞，其中有2個為重大層級，4個為高風險層級，其餘漏洞的危險程度則列為中度風險。

根據CVSS風險評分，最嚴重的漏洞是CVE-2024-41730，此漏洞出現於商業智慧平臺BusinessObjects，起因是缺乏身分驗證的檢核，這項問題出現在啟用單一簽入（SSO）的企業環境，攻擊者可在未經身分驗證的情況下，利用REST端點竊得登入系統的憑證（Token），CVSS風險評為9.8分，影響430、440版系統。

SAP指出，攻擊者若成功利用漏洞，可能得以完全入侵該系統，從而嚴重影響系統的機密性、完整性，以及可用性。

另一個重大層級漏洞是CVE-2024-29415，此漏洞發生在SAP Build Apps打造的應用程式，為伺服器請求偽造（SSRF）漏洞，CVSS風險評為9.1。

這項漏洞涉及Node.js的IP元件缺陷，此元件用途是檢查IP位址是公開或是私有，在使用8進位表示127.0.0.1的時候，會將其識別為公開且全域可路由的IP位址。SAP指出，這項漏洞是先前另一個弱點CVE-2023-42282修補不全所致。