SAP修补Business One、NetWeaver重大风险漏洞

SAP本周发布安全公告,以修补19项产品安全漏洞,包含位于中小企业产品Business One及NetWeaver的3个风险层级9.0以上的重大漏洞。

这3个在SAP分类中被列为“Hot News”的重大风险漏洞,有2个是CVSS 3.0风险分数达9.9的漏洞。其中CVE-2021-33698存在于Business One,可让攻击者上传恶意文件,包括恶意脚本语言。影响产品为Business One version 10。

安全厂商Onapsis研究人员Thomas Fritsch指出,这项漏洞未被列为满分10分的原因,是攻击者还是需要有最小程度的授权。

另一个风险分数9.9的是CVE-2021-33690,为一个服务器端请求伪造(Server Side Request Forgery,SSRF)漏洞,位于SAP NetWeaver Development Infrastructure(SAP NWDI)的Component Build Service servlet中,可让攻击者发送恶意HTTP调用而验证进入NetWeaver环境。SAP指出,这项漏洞影响高低取决于系统是位于内网或是对外暴露。如果已连上外部互联网,这个漏洞将导致服务器上的资料外泄,也可能影响系统服务。

第三个重大漏洞则是CVSS 3.0风险分数9.1的资料隐码(SQL Injection)漏洞CVE-2021-33701,它位于SAP系统升级或转换的管理工具NZDT(Near-Zero Downtime Technology),可允许攻击者在数据库写入恶意SQL指令,可造成资料外泄。该漏洞影响Data Migration Server(DMIS)行动插件程序及SAP S/4HANA。

此外,SAP还修补了5个高风险漏洞,3个位于NetWeaver Enterprise Portal,Business One及SAP Fiori用户端Android版App各有1个。