情資卡編號:TCCY-RCDC-ANA-202303-0046
內容說明:
本月SAP於3月14日發布每月例行更新,一共修補19個漏洞,其中有5個為重大等級。這些漏洞出現於商業智慧軟體Business Objects,以及應用伺服器NetWeaver Application Server for Java、NetWeaver Application Server for ABAP兩個平臺。其中,出現在Business Objects的是CVE-2023-25616與CVE-2023-25617,前者為程式碼注入漏洞,允許攻擊者存取特權帳號可用資源;後者為命令注入漏洞,攻擊者可在BI Launchpad或中央管理主控臺執行任意命令,CVSS風險評分為9.9分及9.0分。
CVE-2023-23857為資訊洩露漏洞,影響NetWeaver Application Server for Java平臺,未經授權的攻擊者可透過API資料夾開啟相關介面,CVSS風險評分為9.8分。
CVE-2023-27269、CVE-2023-27500是資料夾路徑穿越漏洞,皆存在於NetWeaver Application Server for ABAP,CVSS風險評分皆為9.6分。
風險等級:2
建議措施:
儘速執行更新修補作業,特別是CVE-2023-25616、CVE-2023-25617、CVE-2023-23857、CVE-2023-27269、CVE-2023-27500所述之重大漏洞。