SAP发布10月份例行安全更新,总共包含6则新的安全公告,并更新6则已经发布的公告。根据CVSS风险评分的高低,最严重的是在8月已经修补的商业智能平台BusinessObjects漏洞CVE-2024-41730,这项漏洞发生的原因是缺乏身份验证的检核,导致在激活单一签入(SSO)的企业环境中,攻击者有机会在未经授权的情况下,窃得登录系统的凭证(Token),CVSS风险达到9.8分。安全企业Onapsis指出,该公司本月更新公告内容,主要是为SBOP BI Platform Servers 4.2 SP009提供对应的修补程序。
另一项该公司提供额外修补程序的高风险漏洞,是今年7月公告的CVE-2024-39592,这项漏洞发生在产品设计成本估算(Product Design Cost Estimating,PDCE)系统,涉及缺乏身份验证检核,CVSS风险为7.7,本月SAP对于SEM-BW 600至SEM-BW 748等附加软件组件,也提供对应的更新软件。
针对本月SAP新公告的漏洞,首先受到研究人员注意的是与Log4j和Spring框架有关的4项漏洞,这些漏洞影响3.0版Enterprise Project Connection,CVSS风险评为8.0。其中的CVE-2024-22259、CVE-2024-38808、CVE-2024-38809,发生在该系统采用的Spring框架,CVE-2022-23302则存在于Log4j组件,这些漏洞的CVSS风险介于4.3至8.8。
另一个高风险漏洞的安全公告,与BusinessObjects产品线有关,这项漏洞涉及Web Intelligence Reporting Server组件,攻击者可在通过身份验证的情况下发送伪造的请求,就有机会从提供服务的主机下载任何文件,从而高度影响应用系统的机密性,CVSS风险评为7.7分。
