[点晴模切ERP]2024年6月SAP系统高危漏洞预警

当前位置：点晴ERP企业管理信息系统 →『经验分享＆操作答疑』

admin

2024年7月2日 11:9 本文热度 580

漏洞1：SAP Financial Consolidation 中的跨站点脚本（XSS）漏洞

发布时间：11.06.2024

影响模块：FICO

症状描述：SAP Financial Consolidation 允许数据通过不受信任的源输入 Web 应用程序。这些端点通过网络公开，允许用户修改网站中的内容。在成功被利用时，攻击者可能会对应用程序的保密性和完整性造成重大影响。

风险等级：高

解决方案：实施 SAP Note3457592

评估者：FICO顾问，Basis顾问

修复人： Basis顾问

受影响的组件版本：

参考note：3457592

点评：挺厉害的一个漏洞，受影响的系统最好尽快修复

漏洞2：SAP S/4HANA 中缺少权限检查（管理收款文件）

发布时间：11.06.2024

影响模块：FICO

症状描述： SAP S/4HANA 的管理收款文件不会对已验证的用户执行必要的权限检查，从而导致权限升级。这个漏洞对数据完整性的影响很大，不过对系统的保密性和可用性没有影响。

风险等级：中高

解决方案：在note3466175里已提供了修正代码

评估者：FICO顾问，ABAP顾问，basis顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

参考note：3466175

点评：Basis顾问先试试看能不能直接打这个note，如果不行的话再让ABAP顾问上

漏洞3：SAP CRM (WebClient UI) 中的跨站点脚本 (XSS) 漏洞

发布时间：11.06.2024

影响模块：CRM

症状描述：由于输入验证不足，SAP CRM WebClient UI 允许未经验证的攻击者编写嵌入恶意脚本的 URL 链接。当受害者单击此链接时，脚本将在受害者的浏览器中执行，使攻击者能够访问和/或修改信息，但不会影响应用程序的可用性。

风险等级：中

解决方案：在note3465129中已提供了修正代码

评估者：CRM顾问，ABAP顾问，Basis顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

点评：还好还好，只是所有的S/4 HANA系统受到了影响。老规矩，Basis顾问先上，如果note打不了，ABAP顾问再上（note里有修复代码）

漏洞4：SAP NetWeaver AS Java 中的信息披露漏洞

发布时间：11.06.2024

影响模块：全模块

症状描述：允许未经验证的用户访问有关服务器的非敏感信息，否则会受到限制，从而降低对应用程序保密性的影响。

风险等级：低

解决方案：note3425571中提供了临时解决方案。如果想要永久解决，需要升级note里提到的组件版本

评估者：Basis顾问

修复人：Basis顾问

受影响的组件版本：

参考note：3425571

点评：这个组件功能应该很少有企业用到吧

漏洞5：SAP Student Life Cycle Management (SLcM) 中缺少权限检查

发布时间：11.06.2024

影响模块：HR

症状描述：未能对经过验证的用户进行适当的权限检查，从而可能导致权限升级。在成功利用时，它可能允许攻击者访问和编辑通常受限的非敏感报表变式。

风险等级：低

解决方案：实施note3457265里的修正代码，或者升级IS组件版本

评估者：HR顾问

修复人：Basis顾问或ABAP顾问

受影响的组件版本：

参考note：3457265

点评：还好吧，国内上这个组件功能的企业应该不多

漏洞6：BW/4HANA 转换和 DTP 中缺少权限检查

发布时间：11.06.2024

影响模块：BW

症状描述：BW/4HANA 转换和数据传输流程 (DTP) 允许经过验证的攻击者通过利用不正确的权限检查获得比其应有的访问级别更高的访问级别。它对数据的保密性没有影响，但可能会对应用程序的完整性和可用性产生较低的影响。

风险等级：高

解决方案：note3465455提供了两种解决方案-使用note中的修正代码，或者升级组件版本

评估者：BW顾问，Basis顾问，ABAP顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

参考note：3465455

点评：如果使用的是经典BW产品无需理会，如果是BW/4 HANA的产品建议修复

漏洞7：银行账户管理中缺少权限检查

发布时间：11.06.2024

影响模块：FICO

症状描述：SAP 银行账户管理不会对授权用户执行必要的权限检查，因此降低了系统的保密性。

风险等级：高

解决方案：实施note3392049

评估者：FICO顾问

修复人：Basis顾问，ABAP顾问

受影响的组件版本：

参考note：3392049

点评：恭喜S/4的业主们中标，该漏洞只针对/S4的全系产品。Basis顾问先试试note能不能直接打，如果不行的话再让ABAP顾问上

来源：https://mp.weixin.qq.com/s/CvK3jFkeGpNl6hKs9IJQ0Q

点晴模切ERP更多信息：http://moqie.clicksun.cn，联系电话：4001861886

该文章在 2024/7/2 11:09:06 编辑过

正在查询...

点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。

点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理，结合码头的业务特点，围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体，是物流码头及其他港口类企业的高效ERP管理信息系统。

点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。

点晴免费OA是一款软件和通用服务都免费，不限功能、不限时间、不限用户的免费OA协同办公管理系统。