Bleeping Computer 網站披露，軟件供應商 SAP 發布了 19 個漏洞的安全更新，其中 5 個被評為高危漏洞。

此次修復的安全漏洞影響多款 SAP 產品，其中高危漏洞主要影響 SAP Business Objects Business Intelligence Platform（CMC）和 SAP NetWeaver。

此次修復的五個高危漏洞如下：

• CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危（CVSS v3:9.9）代碼注入漏洞，允許攻擊者訪問僅對特權用戶開放的資源，影響版本 420 和 430。
• CVE-2023-23857：嚴重程度（CVSS v3:9.8）的信息泄露、數據操縱和 DoS 漏洞，影響 SAP NetWeaver AS for Java 7.50 。該漏洞允許未經身份驗證的攻擊者連接到開放接口并通過目錄 API 訪問服務來執行未經授權的操作。
• CVE-2023-27269：影響 SAP  NetWeaver Application Server for ABAP 的嚴重性（CVSS v3:9.6）目錄遍歷漏洞。該漏洞允許非管理員用戶覆蓋系統文件，影響版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。
• CVE-2023-27500：APRSBRO 中的目錄遍歷漏洞，允許具有非管理權限的攻擊者利用該漏洞重寫系統文件。在這種攻擊中，無法讀取任何數據，但可能會過度寫入關鍵 OS 文件，從而導致系統不可用。
• CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在嚴重性（CVSS v3:9.0）命令執行漏洞。該漏洞允許遠程攻擊者在特定條件下使用 BI Launchpad、中央管理控制臺或基于公共 java SDK 的自定義應用程序在操作系統上執行任意命令。

除上述之外，SAP 還修復了其它四個高嚴重性漏洞以及十個中等嚴重性漏洞。

SAP 漏洞影響廣泛

SAP 是世界上最大的 ERP 供應商，在 180 個國家擁有 42.5 萬客戶，占全球市場份額的 24%。超過 90% 的《福布斯全球 2000 強》使用其 ERP、SCM、PLM 和 CRM 產品。因此，其產品中存在的安全漏洞是威脅攻擊者的絕佳目標，可以作為侵入企業系統的入口。

早在 2022 年 2 月，美國網絡安全和基礎設施安全局（CISA）就敦促其管理員修補一組影響 SAP 業務應用程序的嚴重漏洞，以防止數據被盜、勒索軟件攻擊以及任務關鍵流程和操作中斷。