漏洞1：Central Finance 基礎架構組件中的可切換權限

發布時間：27.05.2024

影響模塊：FICO

癥狀描述：該場景為以下范圍中的各種 Central Finance 事務、報表和 API 捆綁了新的權限檢查：

·映射工具    

·鍵值映射審計日志

·第三方接口

·項目系統復制

·比較報

·刪除報表。

風險等級：高

解決方案：通過實施 SAP Note 2638217后在SACF 中維護以下新權限場景

評估者：FICO顧問，Basis顧問，ABAP顧問

修復人： Basis顧問+ABAP顧問（手動激活）

受影響的組件版本：

參考note：2638217

點評：建議受影響的用戶還是做一做，萬一放下的心又懸著了呢？          

          

漏洞2：SAP Process Integration 的企業服務資源庫中的信息披露

發布時間：14.05.2024    

影響模塊：PI/PO

癥狀描述： 在某些情況下，SAP Process Integration 的企業服務資源庫允許攻擊者訪問原本會受到限制的信息。

風險等級：中

解決方案：note2745860

評估者：PO顧問，basis顧問

修復人：Basis顧問（note里有一堆補丁需要打）

受影響的組件版本：

參考note：2745860

點評：工作量很大，如果決定執行，會有停機。如果內網足夠安全，建議暫緩執行，畢竟請人做是要花錢的，但是請我們做就很實惠              

          

漏洞3：PI 集成目錄相關的潛在信息被披露

發布時間：14.05.2024

影響模塊：PI/PO

癥狀描述： 攻擊者可以發現與 PI 集成目錄相關的信息（可使用 PI 集成目錄找到用戶名和密碼）。此信息可用于允許攻擊者專門攻擊SAP Process Integration。

風險等級：中

解決方案：將 NW 應用服務器 Java 系統更新為修復的版本或修復的組件包版本

評估者：PO顧問，Basis顧問

修復人：Basis（升級組件版本或系統版本）

受影響的組件版本：

    

點評：工作量很大，如果決定執行，會有停機。如果內網足夠安全，建議暫緩執行。          

          

漏洞4：面向 ABAP 和 ABAP 平臺的 SAP NetWeaver Application Server 中的跨站點腳本 (XSS) 漏洞

發布時間：14.05.2024

影響模塊：全模塊

癥狀描述： 攻擊者可以控制在用戶瀏覽器內執行的代碼，這可能會導致修改、刪除數據（包括訪問或刪除文件），或者竊取攻擊者可用于劫持用戶會話的會話 Cookie。因此，這可能會對系統的保密性、完整性和可用性產生影響。

風險等級：高

解決方案：升級組件或修復代碼

評估者：信息負責人（可能會造成停機，需要評估業務接受度）

修復人：Basis顧問升級組件或ABAP顧問實施修復代碼

受影響的組件版本：

參考note：3448445    

點評： 這個漏洞厲害了！SAP官方直說沒有解決方法，只能修復代碼或升級組件。

                    

漏洞5：SAP Global Label Management (GLM) 中的 SQL 注入漏洞

發布時間：14.05.2024

影響模塊：EA/ES

癥狀描述： 攻擊者利用經特殊設計的輸入來修改數據庫命令,從而檢索系統持久保存的其他信息。這可能會導致對應用程序的保密性和完整性影響較低。

風險等級：高

解決方案：實施note1938764里的修正代碼，或者升級EA組件版本

評估者：Basis顧問

修復人：Basis顧問或ABAP顧問

受影響的組件版本：

參考note：1938764

點評： 該漏洞僅對經典的ERP產品有影響，S/4系列不需要擔心。          

              

漏洞6：SAP NetWeaver Application Server ABAP 和 ABAP 平臺中的文件上載漏洞

發布時間：14.05.2024

影響模塊：全模塊

癥狀描述：攻擊者可以將惡意文件上載到服務器，當受害者訪問該文件時，該惡意文件可能允許攻擊者完全損害系統。

風險等級：極高

解決方案：note3448171中提供了兩種方法

評估者：Basis顧問

修復人：Basis顧問

受影響的組件版本：

參考note：3448171

點評： 恭喜SAP經典產品的業主們，該漏洞只針對經典的全系產品          

          

漏洞7：SAP 銀行賬戶管理中缺少權限檢查

發布時間：14.05.2024

影響模塊：FICO

癥狀描述：SAP 銀行賬戶管理不會對授權用戶執行必要的權限檢查，因此降低了系統的保密性。    

風險等級：高

解決方案：實施note3392049

評估者：FICO顧問

修復人：Basis顧問

受影響的組件版本：

參考note：3392049

點評： 恭喜S/4的業主們中標，該漏洞只針對/S4的全系產品          

          

漏洞8：管理銀行對賬單重新處理規則中缺少權限檢查

發布時間：14.05.2024

影響模塊：FICO

癥狀描述：管理銀行對賬單重新處理規則不會對已驗證的用戶執行必要的權限檢查，從而導致權限升級。通過利用此漏洞,攻擊者可以刪除影響應用程序完整性的其他用戶的規則和啟用/禁用影響應用程序完整性的其他用戶的共享規則。    

風險等級：高

解決方案：實施note3434666里提供的修正代碼或升級組件版本

評估者：FICO顧問

修復人：Basis顧問或ABAP顧問

受影響的組件版本：

參考note：3434666

點評： 從S/4HANA 2020（含）開始往后的產品都應該修正          

          

漏洞9：跨站點腳本 (XSS) 漏洞（DPS 的文檔服務處理器）

發布時間：14.05.2024

影響模塊：文檔管理

癥狀描述：數據預配服務中的文檔服務處理程序（已過時）不會對用戶控制的輸入進行充分的編碼，導致跨站點腳本（XSS）漏洞對應用程序的保密性和完整性影響較低。

風險等級：中

解決方案：實施note3449741里的修正代碼或實施該note或升級組件版本

評估者：Basis顧問

修復人：Basis顧問或ABAP顧問    

受影響的組件版本：

參考note：3460772、3449741

點評： 影響面很小，沒有用到文檔服務的用戶可以忽略，用到了的用戶也可以選擇性實施          

          

漏洞10：SAP UI5 (PDFViewer) 中的客戶端腳本執行漏洞

發布時間：14.05.2024

影響模塊：SAPUI

癥狀描述：如果 PDF 文檔包含嵌入式 JavaScript（或任何有害的客戶端腳本），PDF 查看器將執行嵌入到 PDF 中的 JavaScript，這可能會導致潛在的安全威脅。

風險等級：高

解決方案：根據note3446076里的步驟執行

評估者：ABAP顧問

修復人： ABAP顧問

受影響的組件版本：

參考note：3446076    

點評： 影響面還是有點大的，從S/4HANA1909到2023無一幸免          

          

漏洞11：跨站點腳本 (XSS) 漏洞

發布時間：28.05.2024

影響模塊：全模塊

癥狀描述：由于缺少不受信任數據的輸入驗證和輸出編碼，SAP系統允許未經身份驗證的攻擊者將惡意 JavaScript 代碼注入動態制作的 Web 頁面。攻擊者可以訪問或修改敏感信息，而不會影響應用程序的可用性。

風險等級：極高

解決方案：note3450286提供了修復代碼或升級組件版本

評估者：ABAP顧問

修復人： ABAP顧問或Basis顧問

受影響的組件版本：    

參考note：3450286

點評： 該漏洞涉及到的SAP產品眾多，不僅僅是ERP，其他ABAP平臺類的產品幾乎都有涉及，強烈建議所有用戶更新