严重的SAP漏洞可让攻击者绕过身份验证破坏企业系统

文章预览

据BleepingComputer消息，全球最大的ERP供应商SAP在本月修复了一批重要漏洞，其中包含一个关键的身份验证绕过漏洞，该漏洞可能允许攻击者完全破坏系统。 漏洞被跟踪为 CVE-2024-41730，CVSS v3.1 评分高达9.8，影响 SAP BusinessObjects Business Intelligence Platform 430 和 440版本 。根据漏洞描述，如果在企业身份验证上启用了单点登录，则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以完全破坏系统，从而对机密性、完整性和可用性产生重大影响。 另一个评分达9.1的漏洞被追踪为CVE-2024-29415，与 Node.js 的「IP」包中的一个缺陷有关，该包会检查 IP 地址是公共还是私有。当使用八进制表示时，会错误地将「127.0.0.1」识别为公有且全局可路由的地址。该漏洞影响版本低于4.11.130 的 SAP Build Apps。 其他一些评分在7.4至8.2的漏洞也同样不容忽视，包括： CVE-2024-42374 ………………………………