یک آسیبپذیری با شناسه CVE-2024-22127 و شدت 9.1 (بحرانی) در پلاگین نمایشدهنده لاگ ادمین (SAP NetWeaver Administrator AS Java) کشف شدهاست. این آسیبپذیری کاربر را قادر میسازد با سطح دسترسی بالا، امکان بارگذاری فایل مخرب را داشتهباشد که در نهایت منجر به آسیبپذیری تزریق دستورات برنامهنویسی میشود. تزریق و اجرای این قبیل از دستورات میتواند تاثیر بالایی بر محرمانگی، تمامیت و دسترسی اپلیکیشن بگذارد.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز است (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S:C) و دو ضلع از سه ضلع امنیت، با شدت زیاد تاثیر قرار میگیرند. (C:H/I:H/A:H)
محصولات تحت تأثیر
نسخه 7.50 محصول SAP NetWeaver Administrator AS Java تحت تاثیر آسیبپذیری مذکور قرار دارد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نسبت به اعمال بهروزرسانی به آخرین نسخه موجود، اقدام نمایند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-22127
[2]https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_3701…
- 57