SAP本周宣布發布12個新的和更新的安全說明，作為2023年1月安全補丁日的一部分，其中包括7個解決嚴重漏洞的“熱點新聞”說明。

　　被評為“熱點新聞”的安全說明中有四個是SAP書中嚴重程度最高的安全說明，它們是解決BusinessPlanningandConsolidationMS、BusinessObjects和NetWeaver中漏洞的新說明，而其余三個是對2022年11月和2022年12月發布的說明的更新.

　　最嚴重的新說明解決了BusinessPlanningandConsolidationMS中的SQL注入錯誤（CVE-2023-0016，CVSS得分為9.9），以及BusinessObjects商業智能平臺中的代碼注入缺陷（CVE-2023-0022，CVSS9.9分）。

　　根據企業安全公司Onapsis的說法，這些問題中的第一個可以被利用來在易受攻擊的應用程序中執行精心設計的數據庫查詢，從而允許攻擊者讀取、修改或刪除任意數據。

　　可以通過網絡利用代碼注入漏洞，從而影響應用程序的機密性、完整性和可用性。

　　“該說明包含針對無法立即提供此補丁的客戶的補丁和解決方法。但是，此解決方法只能用作臨時解決方案，因為它會刪除、停止或禁用受影響的服務，” Onapsis解釋道。

　　其余新的“熱點新聞”說明解決了NetWeaverASforJava中的不當訪問控制錯誤（CVE-2023-0017，CVSS評分為9.4）以及NetWeaverASforABAP和ABAP平臺中的捕獲重放漏洞（CVE-2023-0014，CVSS得分為9.0）。

　　通過利用第一個問題，未經身份驗證的攻擊者可以訪問和修改用戶數據并使系統服務不可用。

　　捕獲重放錯誤影響受信任的RFC和HTTP通信的架構，允許攻擊者獲得對SAP系統的未授權訪問。

　　Onapsis表示，緩解該漏洞可能具有挑戰性，因為它涉及應用“內核補丁、ABAP補丁以及所有受信任的RFC和HTTP目標的手動遷移”。

　　SAP還更新了三個“熱點新聞”說明，解決了BusinessObjects中不受信任的數據缺陷的不安全反序列化(CVE-2022-41203)和NetWeaver中的兩個不當訪問控制問題（CVE-2022-4127和CVE-2022-41271）。

　　在SAP的1月安全補丁日發布的其余五份說明解決了HostAgent(Windows)、NetWeaver、BusinessObjects和銀行賬戶管理（管理銀行）中的中等嚴重漏洞。

　　原文：https://www.securityweek.com/saps-first-security-updates-2023-resolve-critical-vulnerabilities