一、概要

近日，华为云关注到SAP官方发布月度补丁公告，披露在SAP NetWeaver AS Java（LM配置向导）7.30至7.50版本中存在一处高危漏洞CVE-2020-6287，漏洞存在SAP NetWeaver AS Java Web组件中，由于缺少身份验证，导致未经身份验证的远程攻击者可以通过创建具有SAP服务高权限用户帐户，并执行任意操作系统命令来不受限制地访问SAP系统。

华为云提醒使用SAP的用户及时安排自检并做好安全加固。

参考链接：

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

SAP NetWeaver AS JAVA (LM 配置向导) Versions = 7.30, 7.31, 7.40, 7.50

潜在易受攻击的SAP业务解决方案包括（但不限于）：

SAP Enterprise Resource Planning(ERP)

SAP Product Lifecycle Management

SAP Customer Relationship Management

SAP Supply Chain Management(SCM)

SAP Supplier Relationship Management

SAP NetWeaver Business Warehouse

SAP Business Intelligence

SAP NetWeaver Mobile Infrastructure

SAP Enterprise Portal

SAP Process Orchestration/Process Integration

SAP Solution Manager

SAP NetWeaver Development Infrastructure

SAP Central Process Scheduling

SAP NetWeaver Composition Environment

SAP Landscape Manager

四、漏洞处置

目前，官方已发布补丁修复了该漏洞，请受影响的用户升级到安全版本：

https://launchpad.support.sap.com/

注：修复漏洞前请将资料备份，并进行充分测试。