服务公告

全部公告 > 安全公告 > 关于SAP Solution Manager缺少身份验证漏洞(CVE-2020-6207)风险预警

关于SAP Solution Manager缺少身份验证漏洞(CVE-2020-6207)风险预警

2021-01-26

一、概要

近日,华为云关注到国外安全公司披露SAP官方在2020年3月披露的SAP Solution Manager缺少身份验证漏洞(CVE-2020-6207)利用代码,攻击者通过构造特制的请求可实现远程代码执行并控制关联的SAP系统。

华为云提醒使用SAP Solution Manager的用户及时安排自检并做好安全加固。

参考链接:

https://wiki.scn.sap.com/wiki/pages/viewpage.action?spm=a2c4g.11174386.n2.3.e8be1051MzSaM0&pageId=540935305

https://zh-cn.tenable.com/blog/cve-2020-6207-proof-of-concept-missing-authentication-check-sap-solution-manager

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

SAP Solution Manager <= 7.2

安全版本:

SAP Solution Manager 7.3

四、漏洞处置

目前,官方已在新版本中修复了该漏洞,请受影响的用户升级到安全版本:

https://launchpad.support.sap.com/

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则

注:修复漏洞前请将资料,并进行充分测试。