-
09/04/2020
-
85
-
552 bài viết
Các lỗ hổng nghiêm trọng được vá trong SAP Environmental Compliance
Vừa qua SAP đã phát hành 13 khuyến cáo an ninh mới và 1 bản cập nhật bảo mật. Trong đó có ba khuyến cáo quan trọng được liệt kê trong mục Hot News.
Nghiêm trọng nhất là khuyến cáo của hãng đề cập đến hai lỗ hổng trong SAP Environmental Compliance. Với mã định danh CVE-2020-10683 và CVE-2021-23926 (điểm CVSS là 9,8), đây là các lỗi tiềm ẩn nguy cơ XXE (XML external entity) injection (tấn công thực thể bên ngoài XML).
Mặc dù SAP chưa cung cấp chi tiết về các lỗ hổng an ninh này, nhưng lỗi XML cho phép kẻ tấn công can thiệp vào quá trình xử lý dữ liệu XML, dẫn đến lộ lọt thông tin hoặc cho phép kiểm soát hệ thống backend.
Hãng cũng đã giải quyết lỗ hổng xác thực không đúng nghiêm trọng trong NetWeaver AS ABAP và ABAP Platform với mã CVE-2021-38178, điểm CVSS là 9,1. Lỗ hổng có thể bị khai thác để vượt qua quality gates và chuyển mã ABAP do hacker tự tạo vào các hệ thống sản xuất và chất lượng.
Khuyến cáo thứ ba trong mục Hot News là việc phát hành bản cập nhật cho trình duyệt Chromium trong SAP Business Client. Bản cập nhật giải quyết lỗ hổng từ chối dịch vụ (DoS) có mã CVE-2021-40498, điểm CVSS là 7,8 trong Ứng dụng di động SuccessFactors dành cho thiết bị Android.
Trong quá trình triển khai các giải pháp Android, có thể xảy ra tương tác với các hoạt động từ những ứng dụng Android khác có sử dụng chung giải pháp, dẫn đến nguy cơ tấn công phishing và DoS.
10 khuyến cáo an ninh còn lại của SAP đều giải quyết các lỗ hổng ở mức độ trung bình, bao gồm tiết lộ thông tin, DoS, code injection và cross-site scripting (XSS).
Ngoài 14 mục này, SAP đã phát hành thêm 3 khuyến cáo khác để đối phó với các lỗi có mức độ nghiêm trọng trung bình.
Nghiêm trọng nhất là khuyến cáo của hãng đề cập đến hai lỗ hổng trong SAP Environmental Compliance. Với mã định danh CVE-2020-10683 và CVE-2021-23926 (điểm CVSS là 9,8), đây là các lỗi tiềm ẩn nguy cơ XXE (XML external entity) injection (tấn công thực thể bên ngoài XML).
Mặc dù SAP chưa cung cấp chi tiết về các lỗ hổng an ninh này, nhưng lỗi XML cho phép kẻ tấn công can thiệp vào quá trình xử lý dữ liệu XML, dẫn đến lộ lọt thông tin hoặc cho phép kiểm soát hệ thống backend.
Hãng cũng đã giải quyết lỗ hổng xác thực không đúng nghiêm trọng trong NetWeaver AS ABAP và ABAP Platform với mã CVE-2021-38178, điểm CVSS là 9,1. Lỗ hổng có thể bị khai thác để vượt qua quality gates và chuyển mã ABAP do hacker tự tạo vào các hệ thống sản xuất và chất lượng.
Khuyến cáo thứ ba trong mục Hot News là việc phát hành bản cập nhật cho trình duyệt Chromium trong SAP Business Client. Bản cập nhật giải quyết lỗ hổng từ chối dịch vụ (DoS) có mã CVE-2021-40498, điểm CVSS là 7,8 trong Ứng dụng di động SuccessFactors dành cho thiết bị Android.
Trong quá trình triển khai các giải pháp Android, có thể xảy ra tương tác với các hoạt động từ những ứng dụng Android khác có sử dụng chung giải pháp, dẫn đến nguy cơ tấn công phishing và DoS.
10 khuyến cáo an ninh còn lại của SAP đều giải quyết các lỗ hổng ở mức độ trung bình, bao gồm tiết lộ thông tin, DoS, code injection và cross-site scripting (XSS).
Ngoài 14 mục này, SAP đã phát hành thêm 3 khuyến cáo khác để đối phó với các lỗi có mức độ nghiêm trọng trung bình.
Theo Securityweek
Chỉnh sửa lần cuối: