漏洞1：SAP NetWeaver Enterprise Portal (KMC) 中的跨站点脚本 (XSS) 漏洞

发布时间：08.10.2024

影响模块：EP

症状描述：EP未对用户控制的输入进行充分编码，从而导致 KMC servlet 中出现跨站点脚本漏洞。攻击者可以制作脚本并欺骗用户单击它。当在门户上注册的受害者单击此类链接时，其 Web 浏览器会话的机密性和完整性可能会受到影响。

风险评估：高

解决方案：note3503462

评估者：EP顾问

修复人： Basis顾问    

受影响的组件版本：

点评：虽然风险比较高，但是受众应该很少          

          

漏洞2：SAP NetWeaver AS for Java（目标服务）中的信息披露漏洞

发布时间：08.10.2024

影响模块：JAVA

症状描述：SAP NetWeaver AS for Java 允许授权攻击者获取敏感信息。攻击者可以在创建 RFC 目标时获取用户名和密码。成功利用后，攻击者可以读取敏感信息。

风险评估：高

解决方案：note3477359

评估者： basis顾问

修复人：Basis顾问

受影响的组件版本：

点评：受影响面不是很广，如果防火墙和杀毒都做到位了，其实也还好          

          

漏洞3：SAP HANA 客户端中的原型污染漏洞

发布时间：08.10.2024    

影响模块：HANA

症状描述：使用 nestTables 选项和 __proto__ 作为表名称时，可能会出现原型污染，导致可以访问任何表。

风险评估：中

解决方案：更新hana client的版本

评估者：Basis顾问

修复人：Basis顾问

受影响的组件版本：

            

点评：不是什么很可怕的问题          

          

漏洞4：SAP 企业项目连接中的多个漏洞

发布时间：08.10.2024

影响模块：CA

症状描述： SAP Enterprise Project Connection 使用 Spring Framework 和 Log4j 开源库的版本，这些版本可能易受本 SAP Security Note 的“其他术语”部分中提到的 CVE 的影响。

风险评估：低

解决方案：note3523541

评估者：Basis顾问    

修复人：Basis顾问

受影响的组件版本：

点评： 99%的用户都不会受到影响的漏洞          

          

漏洞5：SAP Replication Server (FOSS) 中存在多个漏洞

发布时间：08.10.2024

影响模块：全模块

症状描述：SAP Replication Server 不受漏洞影响，因为它不会使用 FOSS 中受影响的易受攻击功能。但是开放源码软件会让安装的环境变得容易被攻击。

风险评估：中

解决方案：参考note3495876，升级 OpenSSL 1.1.1w 和 Spring Framework 5.3.31

评估者：开发人员

修复人：开发人员

受影响的组件版本：

点评：开源的结构受到影响应该不会特别大          

              

漏洞6：面向 ABAP  SAP NetWeaver Application Server 中的信息披露漏洞

发布时间：08.10.2024

影响模块：全模块

症状描述：平台允许攻击者在没有进一步授权的情况下访问启用远程的功能模块。 

风险评估：极高

解决方案：note3454858，目前只有临时的解决方案

评估者： Basis顾问

修复人： Basis顾问

受影响的组件版本：

点评： 这个漏洞的风险就非常高了，涉及到的SAP版本也很多，从最老的700版本到最新的S/4 2023都有涉及，建议尽快修复     

来源：https://mp.weixin.qq.com/s/ZR7TunU18THJ9B_hAoiHbw