美国网络安全和基础设施安全局(CISA)周四根据主动开发的证据，将一个关键的 SAP 安全漏洞添加到其已知的已开发漏洞目录中。

这个问题是 CVE-2022-22536，它在 CVSS 漏洞评分系统中得到了10.0的最高风险评分，SAP 在2022年2月的补丁周二更新中解决了这个问题。

被描述为 HTTP 请求走私漏洞，该缺陷影响以下产品版本-

• SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)

• SAP Content Server (Version – 7.53)

• SAP NetWeaver and ABAP Platform (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

CISA 在一份警告中说: “未经身份验证的攻击者可以使用任意数据预先处理受害者的请求，允许模拟受害者的函数执行或中毒中间网络缓存。”

发现漏洞的 Onapsis 指出: “一个简单的 HTTP 请求，与任何其他有效消息都无法区分，而且没有任何形式的身份验证，就足以成功地利用它。因此，这使得攻击者很容易利用它，并且使得防火墙或 IDS/IPS 等安全技术更难以检测到它(因为它不会带来恶意负载)。”

除了 SAP 的弱点，该机构还增加了苹果(CVE-2022-32893，和 CVE-2022-32894)和谷歌(CVE-2022-2856)本周披露的新缺陷，以及之前记录的与微软相关的错误(CVE-2022-21971和 CVE-2022-26923)和帕洛阿尔托网络 PAN-OS (CVE-2017-15944，CVSS 得分: 9.8)的远程代码执行漏洞，这些都是在2017年披露的。

CVE-2022-21971(CVSS 得分: 7.8)是 Windows 运行时中的一个远程代码执行漏洞，微软于2022年2月解决了这个问题。CVE-2022-26923(CVSS 得分: 8.8) ，修正于2022年5月，涉及到活动目录域服务的一个权限提升缺陷。

微软在其 CVE-2022-26923咨询报告中描述道: “经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性，并获得 Active Directory 证书服务的证书，从而允许将特权升级到 System。”

按照惯例，CISA的通知对与漏洞有关的野外攻击的技术细节不够详细，以避免威胁行为者进一步利用这些漏洞。

为了减轻潜在威胁的影响，联邦民事行政部门(FCEB)机构被授权在2022年9月8日之前应用相关补丁。