SAP Netweaver AS ABAP信息泄露漏洞

CVE编号

CVE-2014-8312

利用情况

暂无

补丁情况

N/A

披露时间

2014-10-17
漏洞描述
SAP NetWeaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台,该平台可为SAP应用提供开发和运行环境。SAP Netweaver AS ABAP是一款运行于NetWeaver中且基于ABAP高级编程语言的应用服务器。

SAP Netweaver AS ABAP 7.31版本的Business Warehouse (BW)中存在信息泄露漏洞。远程攻击者可通过向‘RSDU_CCMS_GET_PROFILE_PARAM RFC’函数发送请求利用该漏洞获取敏感信息。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://service.sap.com/sap/support/notes/1967780
参考链接
http://packetstormsecurity.com/files/128603/SAP-Business-Warehouse-Missing-Au...
http://scn.sap.com/docs/DOC-8218
http://seclists.org/fulldisclosure/2014/Oct/38
http://secunia.com/advisories/61101
http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2014-033
http://www.securityfocus.com/archive/1/533645/100/0/threaded
http://www.securityfocus.com/bid/70292
https://exchange.xforce.ibmcloud.com/vulnerabilities/96877
https://service.sap.com/sap/support/notes/1967780
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sap netweaver_abap 7.31 -
CVSS3评分
3.5
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
  • 保密性
    部分地
  • 完整性
AV:N/AC:M/Au:S/C:P/I:N/A:N
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况