漏洞情報 | SAP發布安全更新，修復多個嚴重漏洞

0x01 漏洞描述

360漏洞云監測到SAP近日發布了2021年8月的安全更新，修復了多個產品中的共14個漏洞。

其中評級為嚴重或高危的漏洞包括：

• CVE-2021-33698
• 影響產品：SAP Business One
• 漏洞類型：未限制的文件上傳
• 漏洞等級：嚴重：9.9
• 漏洞描述：該漏洞源于上傳文件時驗證不足，經認證的遠程用戶可上傳并執行惡意文件。
• CVE-2021-33690
• 影響產品：SAP NetWeaver Development Infrastructure
• 漏洞類型：服務端請求偽造
• 漏洞等級：嚴重：9.9
• 漏洞描述：該漏洞源于對用戶提供輸入的驗證不足，遠程攻擊者可通過發送特制的HTTP請求，欺騙應用對任意系統發起請求。
• CVE-2021-33701
• 影響產品：DMIS Mobile Plug-In，SAP S/4HANA
• 漏洞類型：SQL注入
• 漏洞等級：嚴重：9.1
• 漏洞描述：該漏洞允許攻擊者繞過安全策略并遠程執行任意代碼。
• CVE-2021-33702
• 影響產品：SAP NetWeaver Enterprise Portal
• 漏洞類型：跨站腳本
• 漏洞等級：高危：8.3
• 漏洞描述：該漏洞源于對用戶提供數據的凈化不足，遠程攻擊者可通過誘導用戶訪問特制的鏈接，執行任意HTML或腳本代碼。
• CVE-2021-33703
• 影響產品：SAP NetWeaver Enterprise Portal
• 漏洞類型：跨站腳本
• 漏洞等級：高危：8.3
• 漏洞描述：該漏洞源于對用戶提供數據的凈化不足，遠程攻擊者可通過誘導用戶訪問特制的鏈接，執行任意HTML或腳本代碼。
• CVE-2021-33705
• 影響產品：SAP NetWeaver Enterprise Portal
• 漏洞類型：服務端請求偽造
• 漏洞等級：高危：8.1
• 漏洞描述：該漏洞源于對用戶提供輸入的驗證不足，遠程攻擊者可通過發送特制的HTTP請求，欺騙應用對任意系統發起請求。
• CVE-2021-33700
• 影響產品：SAP Business One
• 漏洞類型：身份認證缺失
• 漏洞等級：高危：7
• 漏洞描述：該漏洞源于對關鍵功能的身份認證缺失，遠程攻擊者可繞過身份認證過程。

0x02 危害等級

嚴重

0x03 影響產品

見“0x01漏洞描述”。

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。