SAP Web Dispatcher 中的请求走私和请求串联 (CVE-2023-33987)
CVE编号
CVE-2023-33987利用情况
暂无补丁情况
N/A披露时间
2023-07-11漏洞描述
An unauthenticated attacker in SAP Web Dispatcher - versions WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, can submit a malicious crafted request over a network to a front-end server which may, over several attempts, result in a back-end server confusing the boundaries of malicious and legitimate messages. This can result in the back-end server executing a malicious payload which can be used to read or modify information on the server or make it temporarily unavailable.解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://me.sap.com/notes/3233899 | |
| https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.49 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.53 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.54 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.77 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.81 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.85 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.88 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.89 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | 7.90 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | hdb_2.00 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.49 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.53 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.54 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.77 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.81 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.85 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.88 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.89 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | kernel_7.90 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | krnl64nuc_7.49 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | krnl64uc_7.49 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | krnl64uc_7.53 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | sap_extended_app_services_1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | sap | web_dispatcher | xs_advanced_runtime_1.00 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-444 | HTTP请求的解释不一致性(HTTP请求私运) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论