聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
在这些“重要”说明中,其中一个和位于 SAP 3D 可视化企业许可证管理的 Reprise 许可证管理器 (RLM) 14.2 组件中的五个漏洞有关。其中最严重的漏洞是CVE-2021-44152(CVSS评分9.8),它是认证/授权检查不当漏洞,可导致未认证攻击者更改任意用户账户的密码。
NIST 在一份安全公告中提到,“该漏洞可导致攻击者更改任意已知用户的密码,从而阻止合法用户访问系统并导致攻击者完全访问用户账户。”在余下的四个严重漏洞中,其中三个是高危漏洞,一个是中危漏洞。
企业安全公司 Onapsis 解释称,手动禁用受影响的 RLM web 接口可修复该漏洞。
第二个重要的安全说明修复了位于 BusinessObjects 情报平台中的多个信息泄露漏洞,它们是CVE-2023-28762(CVSS评分9.1)。其中最严重的漏洞可导致攻击者以管理员权限登录,检索任意已登录用户或服务器的登录令牌且无需用户交互。这可导致攻击者模拟该平台上的任意用户,访问并修改数据,使得系统部门或完全不可用。
Onapsis 对SAP补丁分析指出,该安全说明替换了2022年发布的五个安全说明,解决位于 BusinessObjects 中的信息泄漏漏洞,而这些漏洞已在本周二更新。
SAP 本周发布了七个新的高危说明,解决位于 NetWeaver、IBP Excel 附件、PowerDesigner (Proxy)、Commerce、GUI for Windows 以及 SAPUI5 中的漏洞。同时周二还修复了七个中等优先级和两个低优先级的说明。
Onapsis 公司指出,SAP 在本月更新但并未在发布说明中提到的另一份安全说明中,带来了 Business Client 中所包含的 Chromium 浏览器的最新补丁。鉴于谷歌在数周前修复了两个 Chrome 0day,因此这一安全更新也并不令人惊讶。
https://www.securityweek.com/sap-patches-critical-vulnerabilities-with-may-2023-security-updates/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):SAP 修复多个高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论