sap erp_financial_accounting 授权机制缺失

CVE编号

CVE-2021-38164

利用情况

暂无

补丁情况

N/A

披露时间

2021-09-14

漏洞描述

SAP ERP Financial Accounting (RFOPENPOSTING_FR) versions - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105, allows a registered attacker to invoke certain functions that would otherwise be restricted to specific users. These functions are normally exposed over the network and once exploited the attacker may be able to view and modify financial accounting data that only a specific user should have access to.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://launchpad.support.sap.com/
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	sap	erp_financial_accounting	100	-
	运行在以下环境
	应用	sap	erp_financial_accounting	101	-
	运行在以下环境
	应用	sap	erp_financial_accounting	102	-
	运行在以下环境
	应用	sap	erp_financial_accounting	103	-
	运行在以下环境
	应用	sap	erp_financial_accounting	104	-
	运行在以下环境
	应用	sap	erp_financial_accounting	105	-
	运行在以下环境
	应用	sap	erp_financial_accounting	602	-
	运行在以下环境
	应用	sap	erp_financial_accounting	603	-
	运行在以下环境
	应用	sap	erp_financial_accounting	604	-
	运行在以下环境
	应用	sap	erp_financial_accounting	605	-
	运行在以下环境
	应用	sap	erp_financial_accounting	606	-
	运行在以下环境
	应用	sap	erp_financial_accounting	616	-
	运行在以下环境
	应用	sap	erp_financial_accounting	618	-
	运行在以下环境
	应用	sap	erp_financial_accounting	700	-
	运行在以下环境
	应用	sap	erp_financial_accounting	720	-
	运行在以下环境
	应用	sap	erp_financial_accounting	730	-
	运行在以下环境
	应用	sap	erp_financial_accounting	s4core	-
	运行在以下环境
	应用	sap	erp_financial_accounting	sapscore_-_125	-
	运行在以下环境
	应用	sap	erp_financial_accounting	sap_appl_-_600	-
	运行在以下环境
	应用	sap	erp_financial_accounting	sap_fin_-_617	-

CVSS3评分 5.4

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

CWE-ID	漏洞类型
CWE-862	授权机制缺失

Exp相关链接

- avd.aliyun.com