一、概要

近日，華為云關(guān)注到國(guó)外安全公司披露SAP官方在2020年3月披露的SAP Solution Manager缺少身份驗(yàn)證漏洞（CVE-2020-6207）利用代碼，攻擊者通過構(gòu)造特制的請(qǐng)求可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行并控制關(guān)聯(lián)的SAP系統(tǒng)。

華為云提醒使用SAP Solution Manager的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://wiki.scn.sap.com/wiki/pages/viewpage.action?spm=a2c4g.11174386.n2.3.e8be1051MzSaM0&pageId=540935305

https://zh-cn.tenable.com/blog/cve-2020-6207-proof-of-concept-missing-authentication-check-sap-solution-manager

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

SAP Solution Manager <= 7.2

安全版本：

SAP Solution Manager 7.3

四、漏洞處置

目前，官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://launchpad.support.sap.com/

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。