工信部发布IPv6规模部署行动计划 强化网络安全保障(2)

SAP Disclosure Management是德国思爱普（SAP）公司的一套自动化财务披露管理系统。SAP CrystalReports Server OEM Edition（CRSE）是一套报表解决方案。SAP CloudPlatform是一套开放式平台即服务（PaaS）式云平台。SAP SolutionManager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。

上周，上述产品被披露存在多个漏洞，攻击者可利用漏上传任意文件、提升权限或进行跨站脚本攻击等。

CNVD收录的相关漏洞包括：SAP DisclosureManagement文件上传漏洞、SAP Disclosure Management权限提升漏洞、SAP DisclosureManagement权限提升漏洞（CNVD-2018-08888）、SAP Disclosure Management未授权访问漏洞、SAP SolutionManager Incident Management Work Center跨站脚本漏洞、SAP BusinessObjects会话固定漏洞、SAP Cloud Platform会话固定漏洞、SAP CrystalReports Server OEM Edition本地权限提升漏洞。其中“SAP Disclosure Management文件上传漏洞、SAP DisclosureManagement权限提升漏洞、SAP Disclosure Management权限提升漏洞（CNVD-2018-08888）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SIMATIC S7-400 PLC存在拒绝服务漏洞

SIMATIC S7-400 PLC是是用于中、高档性能范围的可编程序控制器。上周，SIMATIC被披露存在拒绝服务漏洞，攻击者可利用漏洞处理特定的标签变量写操作（Write Var）导致系统宕机。目前，厂商尚未发布漏洞修补程序。

小结