思爱普 SAP Commerce Cloud 代码注入漏洞

漏洞信息详情

思爱普 SAP Commerce Cloud 代码注入漏洞

CNNVD编号：CNNVD-202102-777
危害等级：超危-->
危害等级：超危
CVE编号： CVE-2021-21477
漏洞类型：代码注入
发布时间： 2021-02-09
威胁类型：远程
更新时间： 2021-02-22
厂商：
漏洞来源：

漏洞简介

SAP Commerce Cloud是德国思爱普（SAP）公司的一套基于云的电子商务平台。该产支持销售管理、营销管理、订单管理和运营管理等。

SAP Commerce Cloud 中存在代码注入漏洞，该漏洞源于允许某些具有所需权限的用户编辑drools规则，具有此权限的经过身份验证的攻击者将能够在drools规则中注入恶意代码，执行该规则时会导致远程代码执行漏洞，使攻击者能够危害基础主机，从而损害应用程序的机密性、完整性和可用性。以下产品及型号受到影响：SAP Commerce Cloud 1808, SAP Commerce Cloud 1811, SAP Commerce Cloud 1905, SAP Commerce Cloud 2005, SAP Commerce Cloud 2011

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://launchpad.support.sap.com/#/notes/3014121

参考网址

来源:MISC

链接:https://launchpad.support.sap.com/#/notes/3014121

来源:MISC

链接:https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543

来源:vigilance.fr

链接:https://vigilance.fr/vulnerability/SAP-multiple-vulnerabilities-of-February-2021-34524

受影响实体

暂无

补丁

思爱普 SAP Commerce Cloud 代码注入漏洞的修复措施

正文

思爱普 SAP Commerce Cloud 代码注入漏洞

漏洞信息详情