2020年7月14日，阿里云应急响应中心监测到 CVE-2020-6287 SAP NetWeaver AS Java高危漏洞。

漏洞描述

SAP是SAP公司的产品企业管理解决方案的软件名称。SAP官方发布安全更新，修复了一个存在于SAP NetWeaver AS Java（LM配置向导）7.30至7.50版本中的严重漏洞CVE-2020-6287。未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户，绕过所有访问和授权控制，从而完全控制SAP系统。阿里云应急响应中心提醒 SAP 用户尽快采取安全措施阻止漏洞攻击。

影响版本

SAP NetWeaver AS JAVA (LM 配置向导) Versions = 7.30, 7.31, 7.40, 7.50

其中潜在受影响的SAP解决方案包括（但不限于）：

SAP Enterprise Resource Planning(ERP)

SAP Product Lifecycle Management

SAP Customer Relationship Management

SAP Supply Chain Management(SCM)

SAP Supplier Relationship Management

SAP NetWeaver Business Warehouse

SAP Business Intelligence

SAP NetWeaver Mobile Infrastructure

SAP Enterprise Portal

SAP Process Orchestration/Process Integration

SAP Solution Manager

SAP NetWeaver Development Infrastructure

SAP Central Process Scheduling

SAP NetWeaver Composition Environment

SAP Landscape Manager

安全建议

建议将 SAP对应产品 升级至安全版本。下载地址参考：https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

相关链接

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.07.14