SAP 2023年的首个安全更新处理了关键漏洞

本周 SAP 公司发布了12份新版的安全文件，作为 2023 年 1 月安全补丁日的一部分，其中包括 7 个解决严重漏洞的“热点新闻”说明。

最严重的新说明解决了 Business Planning and Consolidation MS 中的 SQL 注入错误（CVE-2023-0016，CVSS 得分为 9.9），以及 BusinessObjects 商业智能平台中的代码注入缺陷（CVE-2023-0022，CVSS 9.9 分）。

根据企业安全公司Onapsis 的说法，这些问题中的第一个可以被利用来在易受攻击的应用程序中执行精心设计的数据库查询，从而允许攻击者读取、修改或删除任意数据。

可以通过网络利用代码注入漏洞，从而可能影响应用程序的机密性、文档的完整性和数据库的可用性。

通过利用第一个问题，未经身份验证的攻击者可以访问和修改用户数据并使系统服务不可用。

SAP 还更新了三个“热点新闻”说明，解决了 BusinessObjects 中不受信任的数据缺陷的不安全反序列化 (CVE-2022-41203) 和 NetWeaver 中的两个不当访问控制问题（CVE-2022-4127 和 CVE-2022-41271）。分别涉及在windows操作系统中的不当访问控制和在netweaver中的不当访问控制。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!