SAP發布10月份例行安全更新,總共包含6則新的資安公告,並更新6則已經發布的公告。根據CVSS風險評分的高低,最嚴重的是在8月已經修補的商業智慧平臺BusinessObjects漏洞CVE-2024-41730,這項漏洞發生的原因是缺乏身分驗證的檢核,導致在啟用單一簽入(SSO)的企業環境中,攻擊者有機會在未經授權的情況下,竊得登入系統的憑證(Token),CVSS風險達到9.8分。資安業者Onapsis指出,該公司本月更新公告內容,主要是為SBOP BI Platform Servers 4.2 SP009提供對應的修補程式。
另一項該公司提供額外修補程式的高風險漏洞,是今年7月公告的CVE-2024-39592,這項漏洞發生在產品設計成本估算(Product Design Cost Estimating,PDCE)系統,涉及缺乏身分驗證檢核,CVSS風險為7.7,本月SAP對於SEM-BW 600至SEM-BW 748等附加軟體元件,也提供對應的更新軟體。
針對本月SAP新公告的漏洞,首先受到研究人員注意的是與Log4j和Spring框架有關的4項漏洞,這些漏洞影響3.0版Enterprise Project Connection,CVSS風險評為8.0。其中的CVE-2024-22259、CVE-2024-38808、CVE-2024-38809,發生在該系統採用的Spring框架,CVE-2022-23302則存在於Log4j元件,這些漏洞的CVSS風險介於4.3至8.8。
另一個高風險漏洞的資安公告,與BusinessObjects產品線有關,這項漏洞涉及Web Intelligence Reporting Server元件,攻擊者可在通過身分驗證的情況下發送偽造的請求,就有機會從提供服務的主機下載任何檔案,從而高度影響應用系統的機密性,CVSS風險評為7.7分。
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-08
2025-01-06
