阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
高危漏洞
应用程序
CVE-2017-12637
高危
SAP NetWeaver Application Server 目录遍历漏洞
CVE编号
CVE-2017-12637
利用情况
EXP 已公开
补丁情况
官方补丁
披露时间
2017-08-08
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
SAP NetWeaver是一套面向服务的集成化应用平台,该平台可为SAP应用提供开发和运行环境。
SAP NetWeaver AS Java的scheduler/ui/js/ffffffffbca41eb4/UIUtilJavaScriptJS存在目录遍历漏洞,允许远程攻击者利用漏洞提交特殊的请求,以WEB权限查看系统文件内容。
解决建议
用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.sap.com/china/index.html
参考链接
http://www.sh0w.top/index.php/archives/7/
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
sap
netweaver
7.50
-
阿里云评分
7.7
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
全局影响
EXP成熟度
EXP 已公开
补丁情况
官方补丁
数据保密性
无影响
数据完整性
传输被破坏
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
CWE-22
对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×
https://raw.githubusercontent.com/projectdiscovery/nuclei-templates/master/cves/cve-2017-12637.yaml