首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-6287 | SAP NetWeaver清静误差通告

宣布时间 2020-07-14

0x00 误差概述

CVE ID	CVE-2020-6287	时间	2020-07-14
类型		等级	严重
远程使用	是	影响规模	SAP NetWeaver 7.3-7.5

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2020年7月13日，，，，，，，SAP宣布了一个清静更新，，，，，，，修复了一个SAP NetWeaver中的严重误差（CVE-2020-6287），，，，，，，CVSS评分为10分。。。。。。。该误差源于SAP NetWeaver AS Java的Web组件中缺少身份验证。。。。。。。

研究职员体现，，，，，，，此清静误差现在可能会影响40000多个SAP系统。。。。。。。SPA公司还发明至少有2500个易受攻击的SAP系统直接袒露于互联网，，，，，，，其中北美占33%，，，，，，，欧洲占29%和亚太占27%。。。。。。。

受影响的SAP产品列表如下：

SAP Enterprise Resource Planning,

SAP Product Lifecycle Management,

SAP Customer Relationship Management,

SAP Supply Chain Management,

SAP Supplier Relationship Management,

SAP NetWeaver Business Warehouse,

SAP Business Intelligence,

SAP NetWeaver Mobile Infrastructure,

SAP Enterprise Portal,

SAP Process Orchestration/Process Integration),

SAP Solution Manager,

SAP NetWeaver Development Infrastructure,

SAP Central Process Scheduling,

SAP NetWeaver Composition Environment, and

SAP Landscape Manager

该误差可导致读取、修改和删除SAP系统的文件，，，，，，，并通过建设特权账户执行恣意系统下令。。。。。。。别的，，，，，，，还可以更改SAP系统内用户的详细信息（帐号，，，，，，，IBAN等）和读取小我私家身份信息（PII）。。。。。。。

0x02 处置惩罚建议

现在厂商已在“SAP One Support Launchpad”版本修复该误差，，，，，，，参考链接：

https://accounts.sap.com/saml2/idp/sso

0x03 相关新闻

https://www.bleepingcomputer.com/news/security/critical-sap-recon-flaw-exposes-thousands-of-systems-to-attacks/

0x04 参考链接

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

0x05 时间线

2020-07-13 SAP宣布清静通告

2020-07-14 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-6287 | SAP NetWeaver清静误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线