SAP NetWeaver漏洞导致用户表泄露

俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞，该漏洞可能导致攻击者获取中央用户管理表的访问权。

作为一套面向服务的集成平台方案，SAP NetWeaver此次遭遇的漏洞细节（CVE-2014-3787）由安全企业PT Security公司严格保密，这家安全厂商会定期对SAP套件进行检测。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一，财富五百强企业中有四分之三使用该公司的产品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞会影响到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息，这可能会导致存储在全部CUA系统中的用户数据遭到泄露，”Gutso在一篇博文中解释道。

建议用户利用最新发布的NetWeaver安全补丁来修复这一漏洞。

SAP用户一直对该公司部署方案的更新与安全保护机制抱怨不休。去年ERP Scan公司创始人Alexander Polyakov曾经发现，当时成百上千家企业在运行着存在漏洞的陈旧SAP产品版本，而且内部信息完全暴露在公共互联网之下。

Polyakov发现不少客户所运行的NetWeaver j2EE版本当中都包含关键性漏洞，可能允许攻击者在无需认证的前提下执行操作命令。

今年一月，这家安全公司还报告称SAP NetWeaver的GRMGApp中存在关键性XML External Entity（简称XXE）漏洞，这相当于为未经授权的访问敞开了便利之门。