2021年4月安全補丁日修復 SAP Commerce 嚴重漏洞

2021年4月的安全補丁日包括14個新的安全記錄和5個對之前發布的記錄的更新，其中之一解決了SAP Commerce中的一個嚴重問題。

2021年4月的安全補丁日包括14個新的安全記錄和5個對先前發布的安全記錄的更新，在軟件巨頭解決的問題中，SAP Commerce 存在嚴重漏洞。

“類似于SAP的2月補丁日，唯一的HotNews注釋除了定期重復的 SAP Business Client 注釋 ＃2622660 和 HotNews ＃3022422 注釋的較小更新之外，還修復了SAP Commerce規則引擎中的漏洞。標記為CVSS分數為9.9的SAP安全說明 ＃3040210 描述了SAP Commerce Backoffice應用程序的某些授權用戶可以利用規則引擎的腳本功能將惡意代碼注入源規則中。這可能導致遠程代碼執行，對系統的機密性，完整性和可用性產生嚴重影響。” 讀取咨詢通過SAP安全公司Onapsis出版。

名為CVE-2021-27602的嚴重漏洞可以被遠程攻擊者利用以對易受攻擊的安裝執行任意代碼，其CVSS評分為9.9。

該問題在SAP Commerce的源規則中被描述為遠程執行代碼漏洞，該漏洞可能允許SAP Commerce Backoffice軟件的授權用戶利用規則引擎的腳本功能在源規則中注入惡意代碼。

該問題影響SAP Commerce版本1808、1811、1905、2005、2011。

“后臺應用程序允許某些授權用戶創建源規則，這些源規則在發布到應用程序中的某些模塊時將轉換為drools規則。” 閱讀NIST發布的建議。“擁有此授權的攻擊者可以在源規則中注入惡意代碼，并執行遠程代碼執行，從而使它們能夠破壞應用程序的機密性，完整性和可用性。”

2021年4月的安全補丁日包括另外兩個熱門新聞安全說明，它們是先前發布的說明的更新。

第一個更新了2018年8月補丁日發布的安全說明，其中包括隨SAP Business Client一起提供的Google Chromium瀏覽器控件的安全更新。關鍵問題的CVSS評分為10，影響產品– SAP Business Client，版本6.5。

第二篇更新了2021年3月補丁日發布的安全說明，它解決了SAP NetWeaver AS JAVA中追蹤的 CVE-2021-21481 缺少授權檢查的問題。

該漏洞影響SAP NetWeaver AS JAVA（MigrationService）版本7.10、7.11、7.30、7.31、7.40、7.50。

該公司還發布了四個高嚴重漏洞的安全說明，其中三個被分類為信息泄露問題，分別影響到NetWeaver主數據管理（CVE-2021-21482），解決方案管理器（CVE-2021-21483）和NetWeaver AS。 Java（CVE-2021-21485），以及SAPSetup（CVE-2021-27608）中未引用的服務路徑。

SAP還發布了針對高嚴重性注釋的更新，以解決NetWeaver AS ABAP和跟蹤CVE-2020-26832的S4 HANA（SAP格局轉換）中的授權檢查缺失問題。

可在此處獲得作為2021年4月SAP安全補丁日的一部分發布的安全說明的完整列表。