SAP NetWeaver AS ABAP の複数の脆弱性 (2023 年 3 月)

critical Nessus プラグイン ID 172604

Language:

概要

リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。

説明

SAP NetWeaver Application Server for ABAP および ABAP Platform に、以下を含む複数の脆弱性が存在する可能性があります。

- SAP NetWeaver Application Server for ABAP および ABAP Platform - バージョン 700、701、702、731、740、750、751、752、753、754、755、756、757、791 により、非管理者権限を持つ攻撃者が、利用可能なサービスのディレクトリトラバーサルの欠陥を悪用し、システムファイルを上書きすることが可能です。この攻撃ではデータを読み取ることはできませんが、重要な OS ファイルが上書きされ、システムが利用できなくなる可能性があります。(CVE-2023-27269)

- 管理者権限を持たない攻撃者が、プログラム SAPRSBRO のディレクトリトラバーサルの欠陥を悪用して、システムファイルを上書きする可能性があります。この攻撃ではデータを読み取ることはできませんが、重要な OS ファイルが上書きされ、システムが利用できなくなる可能性があります。(CVE-2023-27500)

- SAP NetWeaver AS for ABAP および ABAP Platform - バージョン 700、701、702、731、740、750、751、752、753、754、755、756、757、791 により、ユーザーによって提供されたパス情報の検証が不十分であることを攻撃者が悪用し、利用可能なサービスのディレクトリトラバーサルの欠陥を悪用し、システムファイルを削除することが可能です。この攻撃ではデータを読み取ることはできませんが、重要な OS ファイルが削除され、システムが利用できなくなり、可用性と整合性の両方に重大な影響を与える可能性があります。(CVE-2023-27501)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。