SAP NetWeaver是一种企业IT系统整合管理系统,存在跨站脚本执行漏洞。
受影响系统:
SAP NetWeaver 4.x
描述:
——————————————————————————–
BUGTRAQ ID: 33465
SAP NetWeaver是一种企业IT系统整合管理系统。
SAP NetWeaver的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞控制应用系统。
SAP NetWeaver没有对用户提交的数据做充分的检查过滤,远程攻击者可能在输入中插入来意脚本代码,使用此应用的其他用户客户端浏览器可能会执行攻击者提交脚本代码,构成跨站脚本执行攻击。Web Dynpro Portal应用也存在类似的问题。
建议:
——————————————————————————–
厂商补丁:
SAP
—
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sap.com/platform/netweaver/index.epx
https://www.sdn.sap.com/irj/sdn/webdynpro
