2021年4月安全补丁日修复 SAP Commerce 严重漏洞

Andrew 2021-04-16
专栏 - 资讯 发布于 2021-04-16 10:19:14 阅读 195 评论 0

2021年4月的安全补丁日包括14个新的安全记录和5个对之前发布的记录的更新,其中之一解决了SAP Commerce中的一个严重问题。

2021年4月的安全补丁日包括14个新的安全记录和5个对先前发布的安全记录的更新,在软件巨头解决的问题中,SAP Commerce 存在严重漏洞。

“类似于SAP的2月补丁日,唯一的HotNews注释除了定期重复的 SAP Business Client 注释 #2622660 和 HotNews #3022422 注释的较小更新之外,还修复了SAP Commerce规则引擎中的漏洞。标记为CVSS分数为9.9的SAP安全说明 #3040210 描述了SAP Commerce Backoffice应用程序的某些授权用户可以利用规则引擎的脚本功能将恶意代码注入源规则中。这可能导致远程代码执行,对系统的机密性,完整性和可用性产生严重影响。” 读取咨询通过SAP安全公司Onapsis出版。

名为CVE-2021-27602的严重漏洞可以被远程攻击者利用以对易受攻击的安装执行任意代码,其CVSS评分为9.9。

该问题在SAP Commerce的源规则中被描述为远程执行代码漏洞,该漏洞可能允许SAP Commerce Backoffice软件的授权用户利用规则引擎的脚本功能在源规则中注入恶意代码。

该问题影响SAP Commerce版本1808、1811、1905、2005、2011。

“后台应用程序允许某些授权用户创建源规则,这些源规则在发布到应用程序中的某些模块时将转换为drools规则。” 阅读NIST发布的建议。“拥有此授权的攻击者可以在源规则中注入恶意代码,并执行远程代码执行,从而使它们能够破坏应用程序的机密性,完整性和可用性。”

2021年4月的安全补丁日包括另外两个热门新闻安全说明,它们是先前发布的说明的更新。

第一个更新了2018年8月补丁日发布的安全说明,其中包括随SAP Business Client一起提供的Google Chromium浏览器控件的安全更新。关键问题的CVSS评分为10,影响产品– SAP Business Client,版本6.5。

第二篇更新了2021年3月补丁日发布的安全说明,它解决了SAP NetWeaver AS JAVA中追踪的 CVE-2021-21481 缺少授权检查的问题。

该漏洞影响SAP NetWeaver AS JAVA(MigrationService)版本7.10、7.11、7.30、7.31、7.40、7.50。

该公司还发布了四个高严重漏洞的安全说明,其中三个被分类为信息泄露问题,分别影响到NetWeaver主数据管理(CVE-2021-21482),解决方案管理器(CVE-2021-21483)和NetWeaver AS。 Java(CVE-2021-21485),以及SAPSetup(CVE-2021-27608)中未引用的服务路径。

SAP还发布了针对高严重性注释的更新,以解决NetWeaver AS ABAP和跟踪CVE-2020-26832的S4 HANA(SAP格局转换)中的授权检查缺失问题。

可在此处获得作为2021年4月SAP安全补丁日的一部分发布的安全说明的完整列表。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!