俄羅斯安全研究人員在一份報告中披露了SAP NetWeaver存在的一項漏洞，該漏洞可能導致攻擊者獲取中央用戶管理表的訪問權(quán)。

作為一套面向服務的集成平臺方案，SAP NetWeaver此次遭遇的漏洞細節(jié)（CVE-2014-3787）由安全企業(yè)PT Security公司嚴格保密，這家安全廠商會定期對SAP套件進行檢測。

中央用戶管理功能旨在簡化對由不同客戶端托管的多個用戶賬戶的管理流程。SAP公司是目前人氣最高的商務應用程序供應商之一，財富五百強企業(yè)中有四分之三使用該公司的產(chǎn)品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞會影響到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻擊者將能夠通過附屬系統(tǒng)讀取來自SAP中央用戶管理體系中的任何表信息，這可能會導致存儲在全部CUA系統(tǒng)中的用戶數(shù)據(jù)遭到泄露，”Gutso在一篇博文中解釋道。

建議用戶利用最新發(fā)布的NetWeaver安全補丁來修復這一漏洞。

SAP用戶一直對該公司部署方案的更新與安全保護機制抱怨不休。去年ERP Scan公司創(chuàng)始人Alexander Polyakov曾經(jīng)發(fā)現(xiàn)，當時成百上千家企業(yè)在運行著存在漏洞的陳舊SAP產(chǎn)品版本，而且內(nèi)部信息完全暴露在公共互聯(lián)網(wǎng)之下。

Polyakov發(fā)現(xiàn)不少客戶所運行的NetWeaver j2EE版本當中都包含關(guān)鍵性漏洞，可能允許攻擊者在無需認證的前提下執(zhí)行操作命令。

今年一月，這家安全公司還報告稱SAP NetWeaver的GRMGApp中存在關(guān)鍵性XML External Entity（簡稱XXE）漏洞，這相當于為未經(jīng)授權(quán)的訪問敞開了便利之門。