SAP NetWeaver AS ABAP 和 ABAP 平台中的不正确身份验证漏洞 (CVE-2023-35874)

CVE编号

CVE-2023-35874

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-11

漏洞描述

SAP NetWeaver Application Server ABAP and ABAP Platform - version KRNL64NUC, 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL, 7.53, KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.92, KERNEL 7.93, under some conditions, performs improper authentication checks for functionalities that require user identity. An attacker can perform malicious actions over the network, extending the scope of impact, causing a limited impact on confidentiality, integrity and availability.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://me.sap.com/notes/3318850
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.22	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.53	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.54	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.77	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.81	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.85	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.89	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.92	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	kernel_7.93	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	krnl64nuc_7.22	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	krnl64nuc_7.22ext	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	krnl64uc_7.22	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	krnl64uc_7.22ext	-
	运行在以下环境
	应用	sap	netweaver_application_server_abap	krnl64uc_7.53	-

CVSS3评分 7.4

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 已更改
• 用户交互 无
• 可用性 低
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

Exp相关链接

- avd.aliyun.com