SAP修補Business One、NetWeaver重大風險漏洞

SAP本周釋出安全公告，以修補19項產品安全漏洞，包含位於中小企業產品Business One及NetWeaver 的3個風險層級9.0以上的重大漏洞。

這3個在SAP分類中被列為「Hot News」的重大風險漏洞，有2個是CVSS 3.0風險分數達9.9的漏洞。其中CVE-2021-33698存在於Business One，可讓攻擊者上傳惡意檔案，包括惡意腳本語言。影響產品為Business One version 10。

安全廠商Onapsis研究人員Thomas Fritsch指出，這項漏洞未被列為滿分10分的原因，是攻擊者還是需要有最小程度的授權。

另一個風險分數9.9的是CVE-2021-33690，為一個伺服器端請求偽造（Server Side Request Forgery，SSRF）漏洞，位於SAP NetWeaver Development Infrastructure（SAP NWDI）的Component Build Service servlet中，可讓攻擊者傳送惡意HTTP呼叫而驗證進入NetWeaver環境。SAP指出，這項漏洞影響高低取決於系統是位在內網或是對外曝露。如果已連上外部網際網路，這個漏洞將導致伺服器上的資料外洩，也可能影響系統服務。

第三個重大漏洞則是CVSS 3.0風險分數9.1的資料隱碼（SQL Injection）漏洞CVE-2021-33701，它位於SAP系統升級或轉換的管理工具 NZDT（Near-Zero Downtime Technology），可允許攻擊者在資料庫寫入惡意SQL指令，可造成資料外洩。該漏洞影響Data Migration Server（DMIS）行動外掛程式及SAP S/4HANA。

此外，SAP還修補了5個高風險漏洞，3個位於NetWeaver Enterprise Portal，Business One及SAP Fiori用戶端Android版App各有1個。