SAP NetWeaver GRMGApp XML外部实体和安全绕过漏洞

发布日期:2013-01-31
更新日期:2013-02-23

受影响系统:
SAP NetWeaver 7.x
描述:
--------------------------------------------------------------------------------
SAP NetWeaver是SAP的集成技术平台和自从SAP Business Suite以来的所有SAP应用的技术基础。
 
SAP NetWeaver在实现上存在安全漏洞,可被恶意用户利用泄露敏感信息并绕过某些安全限制。
 
1,由于应用没有正确限制访问,GRMGApp内存在错误,可被利用向Gateway或Message服务器发送管理员命令;
 2,在解析外部XML实体时,GRMGApp内存在错误,可被利用泄露本地文件。
 
<*来源:Dmitry Chastukhin
 
  链接:
       
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
SAP
 ---
 SAP已经为此发布了一个安全公告(dsecrg-13-002)以及相应补丁:
 dsecrg-13-002:[DSECRG-13-002] SAP GRMGApp – XXE And Authentication Bypass
 链接:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywjpz.html