SAP用户重定向漏洞

CVE编号

CVE-2020-6365

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-15
漏洞描述
SAP NetWeaver AS Java版本7.10、7.11、7.20、7.30、7.31、7.40、7.50的“起始页”允许未经身份验证的远程攻击者由于反向Tabbabbing URL验证不足而将用户重定向到恶意站点。攻击者可以执行网络钓鱼攻击,以窃取受害者的凭据或将用户重定向到包含恶意软件或类似恶意攻击的不受信任的网页。

解决建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196


参考链接
https://launchpad.support.sap.com/#/notes/2969828
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sap netweaver application_server_java -
CVSS3评分
6.1
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CWE-ID 漏洞类型
CWE-601 指向未可信站点的URL重定向(开放重定向)
阿里云安全产品覆盖情况