Bleeping Computer 网站披露，软件供应商 SAP 发布了 19 个漏洞的安全更新，其中 5 个被评为高危漏洞。

为灯塔等地区用户提供了全套网页设计制作服务，及灯塔网站建设行业解决方案。主营业务为成都做网站、成都网站制作、灯塔网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

此次修复的安全漏洞影响多款 SAP 产品，其中高危漏洞主要影响 SAP Business Objects Business Intelligence Platform（CMC）和 SAP NetWeaver。

此次修复的五个高危漏洞如下：

• CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危（CVSS v3:9.9）代码注入漏洞，允许攻击者访问仅对特权用户开放的资源，影响版本 420 和 430。
• CVE-2023-23857：严重程度（CVSS v3:9.8）的信息泄露、数据操纵和 DoS 漏洞，影响 SAP NetWeaver AS for Java 7.50 。该漏洞允许未经身份验证的攻击者连接到开放接口并通过目录 API 访问服务来执行未经授权的操作。
• CVE-2023-27269：影响 SAP  NetWeaver Application Server for ABAP 的严重性（CVSS v3:9.6）目录遍历漏洞。该漏洞允许非管理员用户覆盖系统文件，影响版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。
• CVE-2023-27500：APRSBRO 中的目录遍历漏洞，允许具有非管理权限的攻击者利用该漏洞重写系统文件。在这种攻击中，无法读取任何数据，但可能会过度写入关键 OS 文件，从而导致系统不可用。
• CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在严重性（CVSS v3:9.0）命令执行漏洞。该漏洞允许远程攻击者在特定条件下使用 BI Launchpad、中央管理控制台或基于公共 java SDK 的自定义应用程序在操作系统上执行任意命令。

除上述之外，SAP 还修复了其它四个高严重性漏洞以及十个中等严重性漏洞。

SAP 漏洞影响广泛

SAP 是世界上最大的 ERP 供应商，在 180 个国家拥有 42.5 万客户，占全球市场份额的 24%。超过 90% 的《福布斯全球 2000 强》使用其 ERP、SCM、PLM 和 CRM 产品。因此，其产品中存在的安全漏洞是威胁攻击者的绝佳目标，可以作为侵入企业系统的入口。

早在 2022 年 2 月，美国网络安全和基础设施安全局（CISA）就敦促其管理员修补一组影响 SAP 业务应用程序的严重漏洞，以防止数据被盗、勒索软件攻击以及任务关键流程和操作中断。

本文标题：SAP修复五个高危漏洞，请尽快安装更新！
文章URL：http://cdbrznjsb.com/article/dhgscpi.html