漏洞1：Central Finance 基础架构组件中的可切换权限

发布时间：27.05.2024

影响模块：FICO

症状描述：该场景为以下范围中的各种 Central Finance 事务、报表和 API 捆绑了新的权限检查：

·映射工具    

·键值映射审计日志

·第三方接口

·项目系统复制

·比较报

·删除报表。

风险等级：高

解决方案：通过实施 SAP Note 2638217后在SACF 中维护以下新权限场景

评估者：FICO顾问，Basis顾问，ABAP顾问

修复人： Basis顾问+ABAP顾问（手动激活）

受影响的组件版本：

参考note：2638217

点评：建议受影响的用户还是做一做，万一放下的心又悬着了呢？          

          

漏洞2：SAP Process Integration 的企业服务资源库中的信息披露

发布时间：14.05.2024    

影响模块：PI/PO

症状描述： 在某些情况下，SAP Process Integration 的企业服务资源库允许攻击者访问原本会受到限制的信息。

风险等级：中

解决方案：note2745860

评估者：PO顾问，basis顾问

修复人：Basis顾问（note里有一堆补丁需要打）

受影响的组件版本：

参考note：2745860

点评：工作量很大，如果决定执行，会有停机。如果内网足够安全，建议暂缓执行，毕竟请人做是要花钱的，但是请我们做就很实惠              

          

漏洞3：PI 集成目录相关的潜在信息被披露

发布时间：14.05.2024

影响模块：PI/PO

症状描述： 攻击者可以发现与 PI 集成目录相关的信息（可使用 PI 集成目录找到用户名和密码）。此信息可用于允许攻击者专门攻击SAP Process Integration。

风险等级：中

解决方案：将 NW 应用服务器 Java 系统更新为修复的版本或修复的组件包版本

评估者：PO顾问，Basis顾问

修复人：Basis（升级组件版本或系统版本）

受影响的组件版本：

    

点评：工作量很大，如果决定执行，会有停机。如果内网足够安全，建议暂缓执行。          

          

漏洞4：面向 ABAP 和 ABAP 平台的 SAP NetWeaver Application Server 中的跨站点脚本 (XSS) 漏洞

发布时间：14.05.2024

影响模块：全模块

症状描述： 攻击者可以控制在用户浏览器内执行的代码，这可能会导致修改、删除数据（包括访问或删除文件），或者窃取攻击者可用于劫持用户会话的会话 Cookie。因此，这可能会对系统的保密性、完整性和可用性产生影响。

风险等级：高

解决方案：升级组件或修复代码

评估者：信息负责人（可能会造成停机，需要评估业务接受度）

修复人：Basis顾问升级组件或ABAP顾问实施修复代码

受影响的组件版本：

参考note：3448445    

点评： 这个漏洞厉害了！SAP官方直说没有解决方法，只能修复代码或升级组件。

                    

漏洞5：SAP Global Label Management (GLM) 中的 SQL 注入漏洞

发布时间：14.05.2024

影响模块：EA/ES

症状描述： 攻击者利用经特殊设计的输入来修改数据库命令,从而检索系统持久保存的其他信息。这可能会导致对应用程序的保密性和完整性影响较低。

风险等级：高

解决方案：实施note1938764里的修正代码，或者升级EA组件版本

评估者：Basis顾问

修复人：Basis顾问或ABAP顾问

受影响的组件版本：

参考note：1938764

点评： 该漏洞仅对经典的ERP产品有影响，S/4系列不需要担心。          

              

漏洞6：SAP NetWeaver Application Server ABAP 和 ABAP 平台中的文件上载漏洞

发布时间：14.05.2024

影响模块：全模块

症状描述：攻击者可以将恶意文件上载到服务器，当受害者访问该文件时，该恶意文件可能允许攻击者完全损害系统。

风险等级：极高

解决方案：note3448171中提供了两种方法

评估者：Basis顾问

修复人：Basis顾问

受影响的组件版本：

参考note：3448171

点评： 恭喜SAP经典产品的业主们，该漏洞只针对经典的全系产品          

          

漏洞7：SAP 银行账户管理中缺少权限检查

发布时间：14.05.2024

影响模块：FICO

症状描述：SAP 银行账户管理不会对授权用户执行必要的权限检查，因此降低了系统的保密性。    

风险等级：高

解决方案：实施note3392049

评估者：FICO顾问

修复人：Basis顾问

受影响的组件版本：

参考note：3392049

点评： 恭喜S/4的业主们中标，该漏洞只针对/S4的全系产品          

          

漏洞8：管理银行对账单重新处理规则中缺少权限检查

发布时间：14.05.2024

影响模块：FICO

症状描述：管理银行对账单重新处理规则不会对已验证的用户执行必要的权限检查，从而导致权限升级。通过利用此漏洞,攻击者可以删除影响应用程序完整性的其他用户的规则和启用/禁用影响应用程序完整性的其他用户的共享规则。    

风险等级：高

解决方案：实施note3434666里提供的修正代码或升级组件版本

评估者：FICO顾问

修复人：Basis顾问或ABAP顾问

受影响的组件版本：

参考note：3434666

点评： 从S/4HANA 2020（含）开始往后的产品都应该修正          

          

漏洞9：跨站点脚本 (XSS) 漏洞（DPS 的文档服务处理器）

发布时间：14.05.2024

影响模块：文档管理

症状描述：数据预配服务中的文档服务处理程序（已过时）不会对用户控制的输入进行充分的编码，导致跨站点脚本（XSS）漏洞对应用程序的保密性和完整性影响较低。

风险等级：中

解决方案：实施note3449741里的修正代码或实施该note或升级组件版本

评估者：Basis顾问

修复人：Basis顾问或ABAP顾问    

受影响的组件版本：

参考note：3460772、3449741

点评： 影响面很小，没有用到文档服务的用户可以忽略，用到了的用户也可以选择性实施          

          

漏洞10：SAP UI5 (PDFViewer) 中的客户端脚本执行漏洞

发布时间：14.05.2024

影响模块：SAPUI

症状描述：如果 PDF 文档包含嵌入式 JavaScript（或任何有害的客户端脚本），PDF 查看器将执行嵌入到 PDF 中的 JavaScript，这可能会导致潜在的安全威胁。

风险等级：高

解决方案：根据note3446076里的步骤执行

评估者：ABAP顾问

修复人： ABAP顾问

受影响的组件版本：

参考note：3446076    

点评： 影响面还是有点大的，从S/4HANA1909到2023无一幸免          

          

漏洞11：跨站点脚本 (XSS) 漏洞

发布时间：28.05.2024

影响模块：全模块

症状描述：由于缺少不受信任数据的输入验证和输出编码，SAP系统允许未经身份验证的攻击者将恶意 JavaScript 代码注入动态制作的 Web 页面。攻击者可以访问或修改敏感信息，而不会影响应用程序的可用性。

风险等级：极高

解决方案：note3450286提供了修复代码或升级组件版本

评估者：ABAP顾问

修复人： ABAP顾问或Basis顾问

受影响的组件版本：    

参考note：3450286

点评： 该漏洞涉及到的SAP产品众多，不仅仅是ERP，其他ABAP平台类的产品几乎都有涉及，强烈建议所有用户更新