教育機構ANA通報平台
|
發佈編號 |
TACERT-ANA-2026061201061010 |
發佈時間 |
2026-06-12 13:35:11 |
|
事故類型 |
ANA-漏洞預警 |
發現時間 |
2026-06-12 13:35:11 |
|
影響等級 |
低 |
||
|
[主旨說明:]【漏洞預警】SAP針對旗下多款產品發布重大資安公告 |
|||
|
[內容說明:] 【CVE-2026-40128,CVSS:9.0】 SAP NetWeaver Application Server Java (Web Container)允許未經身分驗證的攻擊者,透過精心設計HTTP登入請求進而觸發路徑遍歷行為。 【CVE-2026-27671,CVSS:9.8】 由於SAP NetWeaver AS ABAP and ABAP Platform 所使用的RFC協定驗證不足,未經身分驗證的攻擊者可透過精心設計的RFC請求,利用記憶體的邏輯錯誤進而損壞。 【CVE-2026-44748,CVSS:9.9】 SAP NetWeaver AS ABAP and ABAP Platform允許具有普通權限且經身分驗證的攻擊者取得有效簽署訊息後,對簽署文件內容進行竄改後提交給驗證者。 情資分享等級: WHITE(情資內容為可公開揭露之資訊) |
|||
|
[影響平台:] SAP NetWeaver AS ABAP and ABAP Platform Version(s) - SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918, SAP_BASIS 919 SAP NetWeaver Application Server Java (Web Container) Version(s) - ENGINEAPI 7.50 |
|||
|
[建議措施:] 根據官方網站釋出的解決方式進行修補: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html |
|||
|
[參考資料:] |
|||
|
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
|
教育機構資安通報應變小組 |