SAP ECC 和 SAP S/4HANA (IS-OIL) 中的操作系统命令注入漏洞 (CVE-2023-36922)

CVE编号

CVE-2023-36922

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-11
漏洞描述
Due to programming error in function module or report, SAP NetWeaver ABAP (IS-OIL) - versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension.  On successful exploitation, the attacker can read or modify the system data as well as shut down the system.


解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://me.sap.com/notes/3350297
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sap netweaver 600 -
运行在以下环境
应用 sap netweaver 602 -
运行在以下环境
应用 sap netweaver 603 -
运行在以下环境
应用 sap netweaver 604 -
运行在以下环境
应用 sap netweaver 605 -
运行在以下环境
应用 sap netweaver 606 -
运行在以下环境
应用 sap netweaver 617 -
运行在以下环境
应用 sap netweaver 618 -
运行在以下环境
应用 sap netweaver 800 -
运行在以下环境
应用 sap netweaver 802 -
运行在以下环境
应用 sap netweaver 803 -
运行在以下环境
应用 sap netweaver 804 -
运行在以下环境
应用 sap netweaver 805 -
运行在以下环境
应用 sap netweaver 806 -
运行在以下环境
应用 sap netweaver 807 -
CVSS3评分
8.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
阿里云安全产品覆盖情况