SAP NetWeaver AS 同步失效漏洞 (ICMAD)

critical Nessus 插件 ID 157848

简介

远程 SAP NetWeaver 应用程序服务器受到一个同步失效漏洞的影响。

描述

SAP NetWeaver Application Server ASAP、SAP NetWeaver Application Server Java、ASAP Platform、SAP Content Server 7.53 和 SAP Web Dispatcher 都容易受到请求走私和请求连接的影响。

未经身份验证的攻击者可以在受害者的请求前面追加任意数据。通过这种方式,攻击者可以执行冒充受害者的函数或破坏中间 Web 缓存。若成功发动攻击,将可导致系统的机密性、完整性和可用性遭到完全破坏。

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号。

解决方案

根据供应商公告应用相应的修补程序。

另见

http://www.nessus.org/u?f0c19cc7

https://launchpad.support.sap.com/#/notes/3123396

插件详情

严重性: Critical

ID: 157848

文件名: sap_netweaver_as_3123396.nasl

版本: 1.6

类型: remote

系列: Web Servers

发布时间: 2022/2/9

最近更新时间: 2022/12/5

配置: 启用偏执模式

风险信息

VPR

风险因素: Critical

分数: 9.2

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

CVSS 分数来源: CVE-2022-22536

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 9.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: cpe:/a:sap:netweaver_application_server

必需的 KB 项: installed_sw/SAP Netweaver Application Server (AS), Settings/ParanoidReport

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/2/8

漏洞发布日期: 2022/2/8

CISA 已知利用日期: 2022/9/8

参考资料信息

CVE: CVE-2022-22536

IAVA: 2022-A-0063

CEA-ID: CEA-2022-0006