sap 发布安全漏洞报告:修复影响 5000 亿次安装的 sap pos 漏洞
2017-07-14 11:31:53
全球知名企业资源管理公司 sap 于 7 月 11 日发布 “ ” 安全漏洞报告,包含 23 款安全补丁程序,其中最为严重的 sap pos 漏洞,或将影响约 5000 亿次用户安装。
安全公司 erpscan 专家在 sap pos suite 服务器终端发现多处缺失授权检查漏洞,允许未经身份验证的攻击者远程访问目标系统,读取/删除/输入敏感信息、关闭易受攻击的应用程序与监控 pos 收据窗口内容。此外,erpscan 专家团队针对 sap 漏洞发布一份详细说明:
○ sap pos 中存在多处缺失授权检查漏洞(cvss 基准分:8.1):攻击者无需任何授权即可利用漏洞访问服务系统,从而窃取信息、升级特权或开展其他攻击活动。
○ sap host agent 中存在缺失授权检查漏洞(cvss 基准分:7.5):攻击者无需任何授权即可利用漏洞访问目标服务系统。
○ sap crm 互联网出售管理控制平台存在多处跨站点脚本与跨站伪造请求漏洞(cvss 基准分:6.1):攻击者可以利用跨站脚本漏洞将恶意脚本注入页面,访问 cookie、会话令牌与其他关键信息,以及存储与 web 应用程序的交互。此外,未经授权的攻击者不仅可以利用 xss 漏洞修改显示内容,还可利用用户会话通过跨站点伪造请求漏洞提出包含特定 url 与特定参数的请求,以便执行权限功能。
○ sap governance 中存在风险与合规访问控制(grc)代码注入漏洞(cvss 基准分:6.5)。
○ sap bi promotion management 应用程序具有 xml 外部实体漏洞(cvss 基准分: 6.1)。
○ sap business objects titan 具有 xml 外部实体漏洞(cvss 基准分: 5.4)。
目前,erpscan 并未公布任何技术细节,以避免网络犯罪分子利用漏洞展开攻击活动。安全专家强烈建议 sap 客户尽快安装修补程序。
官方微信