🔴 严重 | CVE-2026-44747 — SAP NetWeaver Application Server ABAP allows an au...
🔴 《严重安全漏洞:CVE-2026-44747》
CVSS 评分: 严重(9.9) 状态: Received 发布时间: 2026-07-14
漏洞简介
CVE-2026-44747 是一个存在于 SAP NetWeaver Application Server ABAP 中的内存损坏漏洞。该漏洞源于内存管理中的逻辑错误(logical errors in memory management),对应 CWE-787(越界写入,Out-of-bounds Write)。经过身份验证的攻击者(authenticated attacker)可以利用此漏洞触发内存损坏(memory corruption),进而可能导致未授权的数据访问、数据篡改或系统不可用。
该漏洞的 CVSS 3.1 评分为 10.0(严重),攻击向量为网络(AV:N),攻击复杂度低(AC:L),需要低权限(PR:L),无需用户交互(UI:N),且影响范围发生变更(S:C),对机密性、完整性和可用性均造成高影响(C:H/I:H/A:H)。
影响范围
- 受影响软件:SAP NetWeaver Application Server ABAP(具体版本信息请参考 SAP 安全公告 Note 3747367)
- 攻击条件:攻击者需要拥有有效的系统认证(authenticated),但无需高权限。
- 攻击途径:通过网络远程利用,无需物理接触或本地访问。
风险分析
- 机密性风险:攻击者可能读取未授权的敏感数据,包括业务数据、用户凭证或系统配置。
- 完整性风险:攻击者可能篡改系统数据或应用程序逻辑,导致数据不一致或业务逻辑被破坏。
- 可用性风险:内存损坏可能导致服务崩溃或系统不可用,影响业务连续性。
- 影响范围:由于 CVSS 评分中影响范围(Scope)为“已变更”(Changed),该漏洞可能突破受攻击组件的安全边界,影响相邻系统或资源。
建议:SAP 已发布安全补丁(参考 SAP Security Patch Day),用户应立即应用更新。由于漏洞评分极高且利用条件较低,未修补的系统面临严重的安全威胁。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-44747 |
| CVSS 评分 | 9.9 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-787 |
| 发布时间 | 2026-07-14 |
| 最后更新 | 2026-07-14 |
| 状态 | Received |
| 数据来源 | cna@sap.com |
🔗 参考链接
💬 评论