SAP Netweaver Invoker Servlet远程代码执行漏洞

漏洞起因
设计错误
危险等级

 
影响系统
SAP NetWeaver 7.30
SAP NetWeaver 7.10
SAP NetWeaver 7.02
SAP NetWeaver 7.01
SAP NetWeaver 7.0 SP8
SAP NetWeaver 7.0 SP15
SAP NetWeaver 7.0
 
不受影响系统
 
危害
远程攻击者可利用此漏洞以应用程序上下文执行任意脚本代码。
 
攻击所需条件
攻击者必须访问SAP NetWeaver。
 
漏洞信息
SAP NetWeaver是一款SAP业务套件解决方案、SAP xApps组合应用、合作伙伴解决方案以及客户定制应用的技术基础。
SAP Netweaver Invoker Servlet存在安全漏洞,允许攻击者调用即使在web.xml文件中声明的任意Servlets。包括应用程序classloader中可用的任意servlet类,如位于WEB-INF\classes,WEB-INF\lib和WEB-INF\additinal-lib应用程序目录下的类。
Java应用程序中附带的多个servlets不是设计用于直接客户端访问,而是在应用程序内部交互,因此可导致执行任意调用,在SAP服务器上执行不可见操作。
 
测试方法
 
厂商解决方案
目前没有详细解决方案提供:
http://www.sap.com/platform/netweaver/index.epx
 
漏洞提供者
Onapsis Security

发表评论?

0 条评论。

发表评论