SAP ERP 国防军和公共安全中的日志注入漏洞 (CVE-2023-36924)

CVE编号

CVE-2023-36924

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-11

漏洞描述

While using a specific function, SAP ERP Defense Forces and Public Security - versions 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806, 807, allows an authenticated attacker with admin privileges to write arbitrary data to the syslog file. On successful exploitation, an attacker could modify all the syslog data causing a complete compromise of integrity of the application.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://me.sap.com/notes/3351410
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	600	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	603	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	604	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	605	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	616	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	617	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	618	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	802	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	803	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	804	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	805	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	806	-
	运行在以下环境
	应用	sap	erp_defense_forces_and_public_security	807	-

CVSS3评分 4.9

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N

CWE-ID	漏洞类型
CWE-117	日志输出的转义处理不恰当

Exp相关链接

- avd.aliyun.com