SAP vá lỗ hổng Spring4Shell trong nhiều sản phẩm của hãng

DDos

VIP Members
22/10/2013
524
2.191 bài viết
SAP vá lỗ hổng Spring4Shell trong nhiều sản phẩm của hãng
Trong bản cập nhật an ninh tháng 5 năm 2022, SAP đã giải quyết nhiều lỗ hổng ảnh hưởng đến các sản phẩm của hãng, trong đó có lỗi Spring4Shell.

spring.jpeg

CVE-2022-22965 ảnh hưởng đến Spring Java được sử dụng rộng rãi, lỗ hổng có thể dẫn đến việc thực thi mã từ xa. Các nhà nghiên cứu đã phát hiện nhiều cuộc tấn công trong thực tế khai thác lỗi này.

Spring4Shell được xếp hạng "Hot News" theo tiêu chí đánh giá lỗ hổng của SAP, ảnh hưởng đến các sản phẩm của SAP bao gồm Customer Profitability Analytics, Commerce, và Business One Cloud.

Bản cập nhật tháng 5 còn vá lỗi cross-site scripting (XSS) trong giao diện người dùng quản trị của Web Dispatcher và Netweaver (CVE-2022-27656, CVSS là 8,3) và lỗi tiết lộ thông tin trên BusinessObjects (CVE-2022-28214, CVSS 7.8).

Theo công ty an ninh ứng dụng doanh nghiệp Onapsis, một cuộc tấn công khai thác lỗ hổng XSS sẽ rất phức tạp, đòi hỏi hacker phải “đánh lừa nạn nhân đăng nhập vào giao diện người dùng quản trị bằng trình duyệt”, điều này làm giảm mức độ nghiêm trọng của lỗi.

SAP đã phát hành các bản vá cho tất cả các tệp bị ảnh hưởng và cung cấp các phương pháp giảm thiểu, bao gồm xóa các tệp, tắt giao diện người dùng quản trị và ngăn người dùng có thể đăng nhập vào giao diện người dùng quản trị.

Onapsis cho biết, CVE-2022-28214 xảy ra trong quá trình nâng cấp SAP BusinessObjects Enterprise, khi thông tin trong nhật ký sự kiện Sysmon bị lộ, có thể bị lợi dụng để triển khai các cuộc tấn công tiếp .

SAP cũng phát hành nhiều bản vá để xử lý các lỗ hổng có mức độ nghiêm trọng trung bình trong NetWeaver, Employee Self Service, và Host Agent.
Theo: securityweek
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-22965 cve-2022-27656 cve-2022-28214 sap
Bên trên