首页 > 安全研究 > 安全通报 > 安全通告

CVE-2020-6287 | SAP NetWeaver安全漏洞通告

发布时间 2020-07-14

0x00 漏洞概述


CVE   ID

CVE-2020-6287

   

2020-07-14

 型

   

严重

远程利用

影响范围

SAP NetWeaver 7.3-7.5


0x01 漏洞详情



2020年7月13日,SAP发布了一个安全更新,修复了一个SAP NetWeaver中的严重漏洞(CVE-2020-6287),CVSS评分为10分。该漏洞源于SAP NetWeaver AS Java的Web组件中缺少身份验证。

研究人员表示,此安全漏洞目前可能会影响40000多个SAP系统。SPA公司还发现至少有2500个易受攻击的SAP系统直接暴露于互联网,其中北美占33%,欧洲占29%和亚太占27%。

受影响的SAP产品列表如下:

SAP Enterprise Resource Planning,

SAP Product Lifecycle Management,

SAP Customer Relationship Management,

SAP Supply Chain Management,

SAP Supplier Relationship Management,

SAP NetWeaver Business Warehouse,

SAP Business Intelligence,

SAP NetWeaver Mobile Infrastructure,

SAP Enterprise Portal,

SAP Process Orchestration/Process Integration),

SAP Solution Manager,

SAP NetWeaver Development Infrastructure,

SAP Central Process Scheduling,

SAP NetWeaver Composition Environment, and

SAP Landscape Manager

该漏洞可导致读取、修改和删除SAP系统的文件,并通过创建特权账户执行任意系统命令。此外,还可以更改SAP系统内用户的详细信息(帐号,IBAN等)和读取个人身份信息(PII)。


0x02 处置建议


目前厂商已在“SAP One Support Launchpad”版本修复该漏洞,参考链接:

https://accounts.sap.com/saml2/idp/sso


0x03 相关新闻


https://www.bleepingcomputer.com/news/security/critical-sap-recon-flaw-exposes-thousands-of-systems-to-attacks/


0x04 参考链接


https://us-cert.cisa.gov/ncas/alerts/aa20-195a


0x05 时间线


2020-07-13 SAP发布安全公告

2020-07-14 VSRC发布漏洞通告




上一篇 下一篇