关键信息总结 漏洞概要 漏洞标题: Open Redirect in SAP® BSP Test Application it00 (Bypass for CVE-2020-6215 Patch) CVE编号: CVE-2020-6215 披露日期: 2022-09-23 影响范围 漏洞影响版本: SAP-BASIS release 755, SP level 01 (具体版本详见 "Vulnerable / tested versions" 部分) 影响产品: SAP® Application Server ABAP and ABAP® Platform (SAP_BASIS) 影响: Medium 漏洞描述 漏洞类型: Open Redirect (绕过CVE-2020-6215补丁) 概述: SAP BSP测试应用程序it00由于绕过了CVE-2020-6215修复补丁,存在一个开放重定向漏洞。该漏洞允许攻击者通过特殊构造的HTTP请求,将用户重定向至任意网址,从而实施钓鱼攻击,窃取用户登录信息或其他敏感数据。 修复方案 补丁: SAP Security Note 3258950 厂商建议: 立即安装受影响版本的SAP Security Note以应用补丁。 漏洞发现者 发现者: SEC Consult Vulnerability Lab 发现人: Fabian Hagg (Office Vienna) 技术细节 修复绕过: 样例代码和示例URL证明了通过操纵特定HTTP请求参数,可以绕过已发布的补丁,重定向至攻击者指定的网址。 测试版本: 具体影响的SAP-BASIS版本列于报告中。 参考链接 原文链接 SEC Consult Advisory