阿里云漏洞库

SAP NetWeaver是基于专业标准的集成化应用平台，能够大幅度降低系统整合的复杂性。

（1）SAP Netweaver 7.40 SP 12版本中的SCTC_REFRESH_CHECK_ENV存在命令注入，该SCTC_REFRESH_CHECK_ENV功能无法正常执行清理时，拥有特定权限的攻击者可以通过CALL'SYSTEM'语句，执行任意系统命令。

（2）SAP Netweaver 7.40 SP 12版本中的SCTC_REFRESH_EXPORT_TAB_COMP存在命令注入，该SCTC_REFRESH_EXPORT_TAB_COMP功能无法正常执行清理时，拥有特定权限的攻击者可以通过CALL'SYSTEM'语句，执行任意系统命令。

（3）SAP Netweaver 7.40 SP 12版本中的SCTC_TMS_MAINTAIN_ALOG存在命令注入，该SCTC_TMS_MAINTAIN_ALOG功能无法正常执行清理时，拥有特定权限的攻击者可以通过CALL'SYSTEM'语句，执行任意系统命令。

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://www.onapsis.com/research/security-advisories/sap-security-audit-log-invalid-address-logging

参考链接
http://seclists.org/fulldisclosure/2016/Oct/0
http://seclists.org/fulldisclosure/2016/Oct/1
http://seclists.org/fulldisclosure/2016/Oct/2
http://www.securityfocus.com/bid/93272
https://www.onapsis.com/blog/analyzing-sap-security-notes-march-2016
https://www.onapsis.com/research/security-advisories/sap-os-command-injection...
https://www.onapsis.com/research/security-advisories/sap-os-command-injection...
https://www.onapsis.com/research/security-advisories/sap-os-command-injection...

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制