11月SAP發布8個資安公告,並更新其中2個已公開的漏洞資訊,其中最受到注意的部分,是CVSS風險評分最高的CVE-2024-47590,影響的產品是應用程式負載平衡系統Web Dispatcher,屬於跨網站指令碼(XSS)弱點,危險程度為8.8分。
針對這項漏洞帶來的危險,SAP指出未經身分驗證的攻擊者能製作能公開存取的惡意連結,一旦有通過身分驗證的使用者點選,網頁便會在使用者的瀏覽器以輸入資料產生內容,進行跨網站指令碼攻擊,或是將這些資料傳送到其他伺服器,進行伺服器請求偽造(SSRF)攻擊,導致攻擊者能夠執行任意程式碼,從而影響伺服器的機密性、完整性、可用性。
針對這項漏洞,資安業者Onapsis提出進一步說明,指出該漏洞僅影響啟用管理介面的Web Dispatcher。若是IT人員無法及時套用更新程式,SAP也提供臨時的緩解措施,包括透過刪除特定檔案或設定檔組態來停用管理介面,或是刪除所有使用者的管理權限來因應。
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-10
2024-11-11
2024-11-11
2024-11-12
Advertisement