🔴 《严重安全漏洞:CVE-2026-44747》

CVSS 评分: 严重(9.9)  状态: Received  发布时间: 2026-07-14


漏洞简介

CVE-2026-44747 是一个存在于 SAP NetWeaver Application Server ABAP 中的内存损坏漏洞。该漏洞源于内存管理中的逻辑错误(logical errors in memory management),对应 CWE-787(越界写入,Out-of-bounds Write)。经过身份验证的攻击者(authenticated attacker)可以利用此漏洞触发内存损坏(memory corruption),进而可能导致未授权的数据访问、数据篡改或系统不可用。

该漏洞的 CVSS 3.1 评分为 10.0(严重),攻击向量为网络(AV:N),攻击复杂度低(AC:L),需要低权限(PR:L),无需用户交互(UI:N),且影响范围发生变更(S:C),对机密性、完整性和可用性均造成高影响(C:H/I:H/A:H)。

影响范围

  • 受影响软件:SAP NetWeaver Application Server ABAP(具体版本信息请参考 SAP 安全公告 Note 3747367
  • 攻击条件:攻击者需要拥有有效的系统认证(authenticated),但无需高权限。
  • 攻击途径:通过网络远程利用,无需物理接触或本地访问。

风险分析

  1. 机密性风险:攻击者可能读取未授权的敏感数据,包括业务数据、用户凭证或系统配置。
  2. 完整性风险:攻击者可能篡改系统数据或应用程序逻辑,导致数据不一致或业务逻辑被破坏。
  3. 可用性风险:内存损坏可能导致服务崩溃或系统不可用,影响业务连续性。
  4. 影响范围:由于 CVSS 评分中影响范围(Scope)为“已变更”(Changed),该漏洞可能突破受攻击组件的安全边界,影响相邻系统或资源。

建议:SAP 已发布安全补丁(参考 SAP Security Patch Day),用户应立即应用更新。由于漏洞评分极高且利用条件较低,未修补的系统面临严重的安全威胁。


🔍 技术细节

字段
CVE ID CVE-2026-44747
CVSS 评分 9.9 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-787
发布时间 2026-07-14
最后更新 2026-07-14
状态 Received
数据来源 cna@sap.com

🔗 参考链接