漏洞情报 | SAP发布安全更新，修复多个严重漏洞

0x01 漏洞描述

360漏洞云监测到SAP近日发布了2021年8月的安全更新，修复了多个产品中的共14个漏洞。

其中评级为严重或高危的漏洞包括：

• CVE-2021-33698
• 影响产品：SAP Business One
• 漏洞类型：未限制的文件上传
• 漏洞等级：严重：9.9
• 漏洞描述：该漏洞源于上传文件时验证不足，经认证的远程用户可上传并执行恶意文件。
• CVE-2021-33690
• 影响产品：SAP NetWeaver Development Infrastructure
• 漏洞类型：服务端请求伪造
• 漏洞等级：严重：9.9
• 漏洞描述：该漏洞源于对用户提供输入的验证不足，远程攻击者可通过发送特制的HTTP请求，欺骗应用对任意系统发起请求。
• CVE-2021-33701
• 影响产品：DMIS Mobile Plug-In，SAP S/4HANA
• 漏洞类型：SQL注入
• 漏洞等级：严重：9.1
• 漏洞描述：该漏洞允许攻击者绕过安全策略并远程执行任意代码。
• CVE-2021-33702
• 影响产品：SAP NetWeaver Enterprise Portal
• 漏洞类型：跨站脚本
• 漏洞等级：高危：8.3
• 漏洞描述：该漏洞源于对用户提供数据的净化不足，远程攻击者可通过诱导用户访问特制的链接，执行任意HTML或脚本代码。
• CVE-2021-33703
• 影响产品：SAP NetWeaver Enterprise Portal
• 漏洞类型：跨站脚本
• 漏洞等级：高危：8.3
• 漏洞描述：该漏洞源于对用户提供数据的净化不足，远程攻击者可通过诱导用户访问特制的链接，执行任意HTML或脚本代码。
• CVE-2021-33705
• 影响产品：SAP NetWeaver Enterprise Portal
• 漏洞类型：服务端请求伪造
• 漏洞等级：高危：8.1
• 漏洞描述：该漏洞源于对用户提供输入的验证不足，远程攻击者可通过发送特制的HTTP请求，欺骗应用对任意系统发起请求。
• CVE-2021-33700
• 影响产品：SAP Business One
• 漏洞类型：身份认证缺失
• 漏洞等级：高危：7
• 漏洞描述：该漏洞源于对关键功能的身份认证缺失，远程攻击者可绕过身份认证过程。

0x02 危害等级

严重

0x03 影响产品

见“0x01漏洞描述”。

0x04 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。