首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-6287 | SAP NetWeaver安全漏洞通告

發布時間 2020-07-14

0x00 漏洞概述


CVE   ID

CVE-2020-6287

   

2020-07-14

 型

   

嚴重

遠程利用

影響范圍

SAP NetWeaver 7.3-7.5


0x01 漏洞詳情



2020年7月13日,SAP發布了一個安全更新,修復了一個SAP NetWeaver中的嚴重漏洞(CVE-2020-6287),CVSS評分為10分。該漏洞源于SAP NetWeaver AS Java的Web組件中缺少身份驗證。

研究人員表示,此安全漏洞目前可能會影響40000多個SAP系統。SPA公司還發現至少有2500個易受攻擊的SAP系統直接暴露于互聯網,其中北美占33%,歐洲占29%和亞太占27%。

受影響的SAP產品列表如下:

SAP Enterprise Resource Planning,

SAP Product Lifecycle Management,

SAP Customer Relationship Management,

SAP Supply Chain Management,

SAP Supplier Relationship Management,

SAP NetWeaver Business Warehouse,

SAP Business Intelligence,

SAP NetWeaver Mobile Infrastructure,

SAP Enterprise Portal,

SAP Process Orchestration/Process Integration),

SAP Solution Manager,

SAP NetWeaver Development Infrastructure,

SAP Central Process Scheduling,

SAP NetWeaver Composition Environment, and

SAP Landscape Manager

該漏洞可導致讀取、修改和刪除SAP系統的文件,并通過創建特權賬戶執行任意系統命令。此外,還可以更改SAP系統內用戶的詳細信息(帳號,IBAN等)和讀取個人身份信息(PII)。


0x02 處置建議


目前廠商已在“SAP One Support Launchpad”版本修復該漏洞,參考鏈接:

https://accounts.sap.com/saml2/idp/sso


0x03 相關新聞


https://www.bleepingcomputer.com/news/security/critical-sap-recon-flaw-exposes-thousands-of-systems-to-attacks/


0x04 參考鏈接


https://us-cert.cisa.gov/ncas/alerts/aa20-195a


0x05 時間線


2020-07-13 SAP發布安全公告

2020-07-14 VSRC發布漏洞通告




上一篇 下一篇