安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
SAP的2020年4月安全更新修补了五个严重漏洞
2020-04-16 14:19:34 【

SAP本周发布了最新的安全补丁集,总共带来了23个安全说明,其中有5个解决了热门新闻漏洞。

最重要的缺陷是SAP Commerce中缺少一个XML验证漏洞。该漏洞跟踪为CVE-2020-6238,CVSS评分为9.3,可以远程利用此漏洞,并且不需要身份验证。

能够成功利用安全问题的攻击者可以从系统读取敏感文件和数据。在某些受限场景,攻击者甚至可以影响可用性,Onapsis,专门在确保SAP和Oracle软件的坚定,揭示

作为2020年4月SAP安全补丁日的一部分发布的另一项热门新闻安全说明,解决了SAP NetWeaver中的目录遍历漏洞(CVE-2020-6225,CVSS评分为9.1)。

问题出在NetWeaver知识管理中,这是一个集中访问点,允许用户浏览文件夹,管理文件等。Onapsis解释说,它还允许用户上传文件,但是对输入的验证不足可能会使攻击者“覆盖,删除或破坏任意文件”。

另一个热门新闻安全说明解决了SAP BusinessObjects Business Intelligence平台中的反序列化漏洞,该漏洞可能导致远程命令执行。跟踪为CVE-2020-6219(CVSS分数9.1),此问题允许对特定组件的参数进行操作。

SAP还发布了热点新闻安全说明,以解决OrientDB 3.0中的代码注入漏洞。漏洞跟踪为CVE-2020-6230,CVSS评分为9.1,需要身份验证和脚本执行特权。

2020年4月安全补丁程序日发布的第五个安全说明是对2019年11月补丁程序日发布的补丁程序的更新,该补丁程序解决了SAP Diagnostics Agent中的OS命令注入漏洞(CVE-2019-0330,CVSS评分为9.1)。

作为2020年4月补丁日的一部分,总共发布了五份“高优先级安全说明”,其中最重要的是SAP解决方案管理器(诊断代理)中缺少身份验证检查。

此漏洞跟踪为CVE-2020-6235,CVSS评分为8.6,该漏洞可能允许攻击者读取敏感信息或滥用组件中缺少身份验证检查的权限来访问管理或其他特权功能。

SAP已解决的其他高优先级错误包括Business Objects Business Intelligence平台(CVE-2020-6237)中的信息披露问题以及Host Agent(CVE-2020-6234)和Landscape Management 3.0 / SAP Adaptive Extensions(CVE)中的特权提升漏洞-2020-6236)。

第五个高优先级说明是对2020年3月补丁日发布的安全说明的更新,该更新解决了Business Objects Business Intelligence平台(Crystal Reports)中的远程代码执行错误,跟踪为CVE-2020-6208,CVSS评分为8.1。

其余所有安全说明解决了Business Objects Business Intelligence平台,ERP&S / 4 HANA,NetWeaver,Fiori Launchpad,Business Client,S / 4 HANA和SAP Commerce中的中等优先级漏洞。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇国外知名游戏厂商EA就接连遭到多.. 下一篇Windows漏洞被利用来执行代码特权..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800