در محصولات SAP، چندین آسیبپذیری از جمله CVE-2022-22536 و CVE-2022-22532 امکان جعل هویت، اجرای دستور، بارگذاری فایل مخرب و … را برای مهاجم فراهم میکند و شدت این آسیبپذیری نیز بحرانی گزارش شده است.
SAP NetWeaver Application Server ABAP، SAP NetWeaver Application Server Java، ABAP Platform، SAP Content Server 7.53 و SAP Web Dispatcher برای تغییر درخواست و درخواست الحاقی آسیب پذیر هستند. یک مهاجم تایید نشده می تواند درخواست فرد قربانی را با داده های دلخواه ایجاد کند. به این ترتیب، مهاجم می تواند توابعی را با جعل هویت آن فرد قربانی اجرا کند یا حافظه پنهان وب واسطه را مسموم کند. یک حمله موفقیت آمیز می تواند منجر به افشای کامل اطلاعات محرمانه در سیستم شود.
در SAP NetWeaver Application Server Java – نسخههای KRNL64NUC 7.22، 7.22EXT، 7.49، KRNL64UC، 7.22، 7.22EXT، 7.49، 7.53، KERNEL 7.22، 7.22EXT، 7.49، یک مهاجم احراز هویت نشده می تواند یک درخواست سرور HTTP دستکاری شده ارسال کند که باعث مدیریت نامناسب بافر حافظه مشترک می شود. این کار می تواند به یک بارگذاری مخرب تبدیل شود و از این رو عملکردهایی را اجرا کند که می تواند جعل هویت قربانی یا حتی سرقت جلسه ورود به سیستم آن فرد قربانی باشد.
ازلاعات بیشتر را میتوانید از اینجا بدست آورید اما هنوز راه حل قطعی برای این مشکلات ارائه نشده و باید منتظر آپدیت جدید باشید.
