Tin An Ninh Mạng

SAP vá lỗ hổng Spring4Shell trong nhiều sản phẩm của hãng

hacker 15
Trong bản cập nhật an ninh tháng 5 năm 2022, SAP đã giải quyết nhiều lỗ hổng ảnh hưởng đến các sản phẩm của hãng, trong đó có lỗi Spring4Shell.


{
,

}

spring.jpeg

CVE-2022-22965 ảnh hưởng đến Spring Java được sử dụng rộng rãi, lỗ hổng có thể dẫn đến việc thực thi mã từ xa. Các nhà nghiên cứu đã phát hiện nhiều cuộc tấn công trong thực tế khai thác lỗi này.

Spring4Shell được xếp hạng “Hot News” theo tiêu chí đánh giá lỗ hổng của SAP, ảnh hưởng đến các sản phẩm của SAP bao gồm Customer Profitability Analytics, Commerce, và Business One Cloud.

Bản cập nhật tháng 5 còn vá lỗi cross-site scripting (XSS) trong giao diện người dùng quản trị của Web Dispatcher và Netweaver (CVE-2022-27656, CVSS là 8,3) và lỗi tiết lộ thông tin trên BusinessObjects (CVE-2022-28214, CVSS 7.8).

Theo công ty an ninh ứng dụng doanh nghiệp Onapsis, một cuộc tấn công khai thác lỗ hổng XSS sẽ rất phức tạp, đòi hỏi hacker phải “đánh lừa nạn nhân đăng nhập vào giao diện người dùng quản trị bằng trình duyệt”, điều này làm giảm mức độ nghiêm trọng của lỗi.

SAP đã phát hành các bản vá cho tất cả các tệp bị ảnh hưởng và cung cấp các phương pháp giảm thiểu, bao gồm xóa các tệp, tắt giao diện người dùng quản trị và ngăn người dùng có thể đăng nhập vào giao diện người dùng quản trị.

Onapsis cho biết, CVE-2022-28214 xảy ra trong quá trình nâng cấp SAP BusinessObjects Enterprise, khi thông tin trong nhật ký sự kiện Sysmon bị lộ, có thể bị lợi dụng để triển khai các cuộc tấn công tiếp .

SAP cũng phát hành nhiều bản vá để xử lý các lỗ hổng có mức độ nghiêm trọng trung bình trong NetWeaver, Employee Self Service, và Host Agent.

Theo: securityweek

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !