SAP修补Business One、NetWeaver重大风险漏洞

SAP本周释出安全公告，以修补19项产品安全漏洞，包含位于中小企业产品Business One及NetWeaver 的3个风险层级9.0以上的重大漏洞。

这3个在SAP分类中被列为“Hot News”的重大风险漏洞，有2个是CVSS 3.0风险分数达9.9的漏洞。其中CVE-2021-33698存在于Business One，可让攻击者上传恶意档案，包括恶意脚本语言。影响产品为Business One version 10。

安全厂商Onapsis研究人员Thomas Fritsch指出，这项漏洞未被列为满分10分的原因，是攻击者还是需要有最小程度的授权。

另一个风险分数9.9的是CVE-2021-33690，为一个服务器端请求伪造（Server Side Request Forgery，SSRF）漏洞，位于SAP NetWeaver Development Infrastructure（SAP NWDI）的Component Build Service servlet中，可让攻击者传送恶意HTTP呼叫而验证进入NetWeaver环境。SAP指出，这项漏洞影响高低取决于系统是位在内网或是对外曝露。如果已连上外部互联网，这个漏洞将导致服务器上的资料外泄，也可能影响系统服务。

第三个重大漏洞则是CVSS 3.0风险分数9.1的资料隐码（SQL Injection）漏洞CVE-2021-33701，它位于SAP系统升级或转换的管理工具 NZDT（Near-Zero Downtime Technology），可允许攻击者在数据库写入恶意SQL指令，可造成资料外泄。该漏洞影响Data Migration Server（DMIS）行动插件及SAP S/4HANA。

此外，SAP还修补了5个高风险漏洞，3个位于NetWeaver Enterprise Portal，Business One及SAP Fiori用户端Android版App各有1个。