首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-6287 | SAP NetWeaver安全缝隙公告

颁布功夫 2020-07-14

0x00 缝隙概述

CVE ID	CVE-2020-6287	时间	2020-07-14
类型		等级	严沉
远程利用	是	影响领域	SAP NetWeaver 7.3-7.5

0x01 缝隙详情

GA黄金甲·(中国区)官方网站

2020年7月13日，SAP颁布了一个安全更新，建复了一个SAP NetWeaver中的严沉缝隙（CVE-2020-6287），CVSS评分为10分。该缝隙源于SAP NetWeaver AS Java的Web组件中短缺身份验证。

钻研人员暗示，此安全缝隙目前可能会影响40000多个SAP系统。SPA公司还发现至少有2500个易受攻击的SAP系统直接露出于互联网，其中北美占33%，欧洲占29%和亚太占27%。

受影响的SAP产品列表如下：

SAP Enterprise Resource Planning,

SAP Product Lifecycle Management,

SAP Customer Relationship Management,

SAP Supply Chain Management,

SAP Supplier Relationship Management,

SAP NetWeaver Business Warehouse,

SAP Business Intelligence,

SAP NetWeaver Mobile Infrastructure,

SAP Enterprise Portal,

SAP Process Orchestration/Process Integration),

SAP Solution Manager,

SAP NetWeaver Development Infrastructure,

SAP Central Process Scheduling,

SAP NetWeaver Composition Environment, and

SAP Landscape Manager

该缝隙可导致读取、批改和删除SAP系统的文件，并通过创建特权账户执行肆意系统号令。此表，还能够更改SAP系统内用户的具体信息（帐号，IBAN等）和读取幼我身份信息（PII）。

0x02 措置建议

目前厂商已在“SAP One Support Launchpad”版本建复该缝隙，参考链接：

https://accounts.sap.com/saml2/idp/sso

0x03 有关新闻

https://www.bleepingcomputer.com/news/security/critical-sap-recon-flaw-exposes-thousands-of-systems-to-attacks/

0x04 参考链接

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

0x05 功夫线

2020-07-13 SAP颁布安全布告

2020-07-14 VSRC颁布缝隙公告

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CVE-2020-6287 | SAP NetWeaver安全缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线