漏洞1：SAP BusinessObjects Business Intelligence 平台中存在多个无限制的文件上载漏洞

发布时间：13.08.2024

影响模块：BO/BI

症状描述：平台允许经过身份验证的攻击者通过网络上载可由应用程序执行的恶意代码。

风险评估：极高

解决方案：note3433545

评估者：BO顾问

修复人： BO顾问

受影响的组件版本：

点评：有BO系统的用户还是尽早修复为好。

          

漏洞2：SAP BEx Web Java 运行时导出 Web 服务中的 XML 注入

发布时间：13.08.2024

影响模块：JAVA

症状描述： BEx Web Java 运行时导出 Web 服务无法充分验证从不受信任的源接受的 XML 文档。攻击者可以从 SAP ADS 系统检索信息，并耗尽 XMLForm 服务的数量，以使 SAP ADS 渲染（PDF 创建）不可用。

风险评估：高

解决方案：在note3485284里列举了需要升级的组件版本

评估者： basis顾问

修复人：Basis顾问

受影响的组件版本：            

点评：如果是基于NetWeaver7.5平台的客户又启用了ADS功能可以考虑升级一下组件版本          

              

漏洞3：SAP CRM中的服务器端请求伪造

发布时间：13.08.2024

影响模块：CRM

症状描述： 允许经过身份验证的攻击者通过特别拟定 HTTP 请求来枚举内部网络中的 HTTP 端点。成功利用后，可能会导致信息披露。

风险评估：高

解决方案：在note3487537里提供了三种解决方案，打note的临时方案，增强代码或者升级组件版本的永久性方案

评估者：ABAP顾问，Basis顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

            

点评：老版本的CRM系统几乎都中招了          

          

漏洞4：SAP Netweaver Application Server ABAP 中的不正确访问控制    

发布时间：08.13.2024

影响模块：全模块

症状描述： 允许未经身份验证的攻击者构建可以绕过允许列表控件的 URL 链接。根据由此服务器提供的 Web 应用程序，攻击者可能会向 Web 应用程序中注入 CSS 代码或链接，从而允许攻击者读取或修改信息。

风险评估：极高

解决方案：note3468102提供了解决方案

评估者：Basis顾问，ABAP顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

点评： 修复不复杂，SAP在note里提供了完整的修复代码，建议受到影响的用户及时修复          

          

漏洞5：SAP Document Builder 中缺少权限检查

发布时间：13.08.2024

影响模块：全模块

症状描述： SAP Document Builder 不对其中一个功能模块执行必要的权限检查，导致权限升级会对应用程序的保密性造成较低的影响。

风险评估：低

解决方案：实施note3477423

评估者：Basis顾问

修复人：Basis顾问或ABAP顾问

受影响的组件版本：

点评： 上了S/4的企业几乎全中招了，好在风险级别不高，有条件的用户可以打上          

          

漏洞6：SAP系统缺少权限检查

发布时间：13.08.2024    

影响模块：全模块

症状描述：经过身份验证的攻击者可能会调用基础事务，从而导致用户相关信息的公开。 

风险评估：极高

解决方案：note3494349

评估者： Basis顾问

修复人： Basis顾问先打上note补丁，ABAP顾问程序修复

受影响的组件版本：

点评： 这个漏洞的风险就非常高了，涉及到的SAP版本也很多，从最老的700版本到最新的S/4 2023都有涉及，建议尽快修复          

          

漏洞7：SAP共享服务框架中缺少多个权限检查漏洞

发布时间：13.08.2024

影响模块：CRM

症状描述：SAP Shared Service Framework 不会对经过验证的用户执行必要的权限检查，从而导致权限升级。在成功被利用时，攻击者可能会对应用程序的保密性造成很大影响。

风险评估：中

解决方案：实施note3474590    

评估者：CRM顾问

修复人：Basis顾问

受影响的组件版本：

点评： 小范围受灾，有条件的用户可以考虑修复          

          

漏洞8：SAP NetWeaver 应用服务器（ABAP 和 Java）、SAP Web Dispatcher 和 SAP content server中缺少权限检查

发布时间：27.08.2024

影响模块：全模块

症状描述：由于本地系统中缺少权限检查，SAP Web webdispatcher、SAP NetWeaver Application Server（ABAP 和 Java）和 SAP content server的管理员用户可以模仿其他用户，并可能执行一些意外操作。这可能会导致对保密性的影响较低，并对应用程序的完整性和可用性产生很大影响。

风险评估：极高

解决方案：note3438085提供了具体的解决方案，有些复杂，需要根据当前的系统环境和版本仔细评估

评估者：Basis顾问    

修复人：Basis顾问

受影响的组件版本：

点评： 受害范围极大！风险极高！尽快修复！尽快修复！！尽快修复！！！          

          

漏洞9：SAP S/4 HANA 中的信息披露（法定报表）

发布时间：27.08.2024

影响模块：FICO

症状描述：SAP S/4 HANA 中的法定报表允许具有基本权限的攻击者访问原本会受到限制的信息。此漏洞可能会暴露应保持机密的内部用户数据。    

风险评估：高

解决方案：note3437585提供了修复补丁和建议的手动解决方案

评估者：FICO顾问

修复人：Basis顾问

受影响的组件版本：

点评： 好在受害范围不是很广，不在上述组件版本内的用户可以放心了

【转】https://mp.weixin.qq.com/s/qbuI9FjbVz7bepE3cQ0T1w