SAP在其2024年12月的补丁日发布了针对16个漏洞的补丁,其中包括NetWeaver的Adobe文档服务中的一个严重SSRF漏洞。
作为其2024年12月安全补丁日的一部分,SAP解决了16个漏洞。该公司发布了九个新的和四个更新的安全说明。
这些漏洞中最严重的是一个被追踪为CVE-2024-47578(CVSS评分9.1)的问题,位于NetWeaver的Adobe文档服务组件中。拥有管理员权限的攻击者可以利用这个漏洞从易受攻击的web应用程序发送一个精心设计的请求。成功利用可以使攻击者读取或修改任何文件,甚至使整个系统不可用。
该漏洞影响ADSSSAP 7.50版本。
“Adobe文档服务允许拥有管理员权限的攻击者从易受攻击的web应用程序发送精心设计的请求。这通常用于针对通常从外部网络无法访问的防火墙后面的内部系统,从而导致服务器端请求伪造(SSRF)漏洞。”公告中写道。“在成功利用后,攻击者可以读取或修改任何文件,甚至使整个系统不可用。”
该公司还解决了另外两个被追踪为CVE-2024-47579和CVE-2024-47580的漏洞,这些漏洞在同一个被标记为“热点新闻”的安全说明中。
这些漏洞是中级严重性问题,可以被拥有管理员访问权限的攻击者利用来读取服务器上的文件。
“这些漏洞,被追踪为CVE-2024-47578、CVE-2024-47579和CVE-2024-47580,共同使组织面临潜在的服务器端请求伪造(SSRF)、未经授权的文件访问和信息泄露的风险。”Onapsis发布的分析中写道。
SAP还解决了Web Dispatcher中的一个跨站脚本(XSS)漏洞(CVSS评分8.8),被追踪为CVE-2024-47590。
该公司修复了通过远程函数调用(RFC)的信息泄露漏洞,被追踪为CVE-2024-54198(CVSS评分8.5),位于SAP NetWeaver应用服务器ABAP中。
该公司不知道有攻击者在野外利用2024年12月安全补丁日发布的任何一个问题。
文章原文链接:https://www.anquanke.com/post/id/302706