俄羅斯安全研究人員在一份報告中披露了SAP NetWeaver存在的一項(xiàng)漏洞，該漏洞可能導(dǎo)致攻擊者獲取中央用戶管理表的訪問權(quán)。

作為一套面向服務(wù)的集成平臺方案，SAP NetWeaver此次遭遇的漏洞細(xì)節(jié)(CVE-2014-3787)由安全企業(yè)PT Security公司嚴(yán)格保密，這家安全廠商會定期對SAP套件進(jìn)行檢測。

中央用戶管理功能旨在簡化對由不同客戶端托管的多個用戶賬戶的管理流程。SAP公司是目前人氣最高的商務(wù)應(yīng)用程序供應(yīng)商之一，財富五百強(qiáng)企業(yè)中有四分之三使用該公司的產(chǎn)品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞會影響到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻擊者將能夠通過附屬系統(tǒng)讀取來自SAP中央用戶管理體系中的任何表信息，這可能會導(dǎo)致存儲在全部CUA系統(tǒng)中的用戶數(shù)據(jù)遭到泄露，”Gutso在一篇博文中解釋道。

建議用戶利用最新發(fā)布的NetWeaver安全補(bǔ)丁來修復(fù)這一漏洞。

SAP用戶一直對該公司部署方案的更新與安全保護(hù)機(jī)制抱怨不休。去年ERP Scan公司創(chuàng)始人Alexander Polyakov曾經(jīng)發(fā)現(xiàn)，當(dāng)時成百上千家企業(yè)在運(yùn)行著存在漏洞的陳舊SAP產(chǎn)品版本，而且內(nèi)部信息完全暴露在公共互聯(lián)網(wǎng)之下。

Polyakov發(fā)現(xiàn)不少客戶所運(yùn)行的NetWeaver j2EE版本當(dāng)中都包含關(guān)鍵性漏洞，可能允許攻擊者在無需認(rèn)證的前提下執(zhí)行操作命令。

今年一月，這家安全公司還報告稱SAP NetWeaver的GRMGApp中存在關(guān)鍵性XML External Entity(簡稱XXE)漏洞，這相當(dāng)于為未經(jīng)授權(quán)的訪問敞開了便利之門。