Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчики SAP устранили критическую уязвимость в компоненте LM Configuration Wizard Java-платформы NetWeaver Application Server (AS). С помощью этого бага не прошедшие аутентификацию злоумышленники могли получить контроль над приложениями SAP.
Уязвимость получила идентификатор CVE-2020-6287 и имя «RECON». По шкале CVSS ей присвоили максимальные 10 баллов опасности.
По данным компании Onapsis, первой сообщившей о проблеме безопасности, брешь угрожает более 40 тыс. клиентов SAP.
В случае успешной эксплуатации не прошедший аутентификацию злоумышленник сможет получить ничем не ограниченный доступ к системам SAP. В частности, атакующему удастся создать пользователя с высокими правами и выполнить произвольные команды.
«Целостность, конфиденциальность и доступность данных и процессов, обрабатываемых приложениями SAP, находятся в опасности», — пишет в своём уведомлении CISA.
Уязвимость затрагивает SAP NetWeaver AS Java 7.3 и более новые версии платформы, на базе которой по умолчанию работают приложения компании. По словам экспертов Onapsis, RECON существует благодаря отсутствию аутентификации в веб-компоненте SAP NetWeaver AS. Именно поэтому потенциальный атакующий может выполнять действия с высокими правами.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |