SAP آسیبپذیری با شناسه CVE-2023-31403 و شدت 9.6 در محصول SAP Business One (در فرایند نصب (installation) محصول) منتشر کرد. این آسیبپذیری که در 14 نوامبر 2023 منتشر شد، بهدلیل عدم انجام احراز هویت و عدم بررسی مناسب مجوز برای پوشه به اشتراک گذاشته شده SMB امکان خواندن و نوشتن در این پوشه را برای مهاجم فراهم میآورد؛ همچنین فایلهای موجود در پوشه میتوانند توسط فرآیند نصب اجرا شوند یا مورد بهرهبرداری قرار گیرند که این امر منجر به تحت تأثیر قرار گرفتن محرمانگی، یکپارچگی و در دسترس بودن دادهها میشود. این آسیبپذیری متأثر از یک تابع ناشناخته از مؤلفه SMB Shared Folder Handler است که دسترسی به یک منبع را از طرف کاربر غیرمجاز محدود نکرده یا به اشتباه آن را محدود میکند. SAP Business One یک راه حل ERP واحد و مقرون به صرفه برای مدیریت یک کسب و کار، شامل: حسابداری و امور مالی، خرید، موجودی، فروش، ارتباط با مشتری، گزارش و تجزیه و تحلیل است.
محصولات تحت تأثیر
این آسیبپذیری SAP Business One نسخه 10.0 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء SAP Business One به نسخههای وصله شده اقدام نمایند.
منبع خبر:
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
- 36