开源网安研究院利用最新开发的SFuzz模糊测试工具为SAP发现多个“中危”和“高危”级别的漏洞,第一时间报告并协助其修复漏洞。北京时间2021年4月14日,SAP发布致谢公告,公开致谢开源网安研究院研究人员。
图为SAP官网致谢截图
漏洞概述
SAP viewer在处理多个图片格式,因为处理逻辑不严,导致代码执行或权限提升漏洞
参考链接
https://www.zerodayinitiative.com/advisories/ZDI-21-014/
https://www.zerodayinitiative.com/advisories/ZDI-21-289/
https://www.zerodayinitiative.com/advisories/ZDI-21-306/
https://www.zerodayinitiative.com/advisories/ZDI-21-294/
https://www.zerodayinitiative.com/advisories/ZDI-21-299/
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=451071888
关于SAP
SAP 是全球领先的业务流程管理软件供应商之一,公司开发的解决方案能够支持有效的数据处理和跨企业信息流动。SAP 的集成式应用能够将企业的各个业务领域连接起来,基于统一的智慧企业套件和数字化平台运营。如今,SAP 拥有超过 2.2 亿云用户,推出了 100 多款解决方案,覆盖所有业务职能部门,是最大的云产品提供商。
关于开源网安
开源网安成立于2013年,总部在深圳,同时设有北京、上海、成都、武汉、合肥分支机构。开源网安团队的核心成员由来自惠普、华为、思科等行业顶级的安全专家组成,核心团队成员从业经验均为10年以上。公司秉承“捍卫中国软件安全”的核心理念,帮助企业提升软件产品的安全与质量。
开源网安具有大量世界500强成功案例及S-SDLC实施经验,十年磨一剑,专注“软件安全”行业,完全拥有“自主知识产权”,也是国产化替代Gartner应用安全魔力象限“领导者”厂商,并能为客户提供安全开发全生命周期解决方案(S-SDLC)、DevSecOps解决方案和完整的软件开发工具链(IAST、SAST、SCA、FUZZ、RASP),为客户实现软件产品快速安全交付保驾护航。