漏洞起因
设计错误
危险等级
低
影响系统
SAP NetWeaver 7.30
SAP NetWeaver 7.10
SAP NetWeaver 7.02
SAP NetWeaver 7.01
SAP NetWeaver 7.0 SP8
SAP NetWeaver 7.0 SP15
SAP NetWeaver 7.0
不受影响系统
危害
远程攻击者可利用此漏洞以应用程序上下文执行任意脚本代码。
攻击所需条件
攻击者必须访问SAP NetWeaver。
漏洞信息
SAP NetWeaver是一款SAP业务套件解决方案、SAP xApps组合应用、合作伙伴解决方案以及客户定制应用的技术基础。
SAP Netweaver Invoker Servlet存在安全漏洞,允许攻击者调用即使在web.xml文件中声明的任意Servlets。包括应用程序classloader中可用的任意servlet类,如位于WEB-INF\classes,WEB-INF\lib和WEB-INF\additinal-lib应用程序目录下的类。
Java应用程序中附带的多个servlets不是设计用于直接客户端访问,而是在应用程序内部交互,因此可导致执行任意调用,在SAP服务器上执行不可见操作。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.sap.com/platform/netweaver/index.epx
漏洞提供者
Onapsis Security
0 条评论。