United States Computer Emergency Readiness Team (US-CERT)は2020年8月11日(米国時間)、「SAP Releases August 2020 Security Updates|CISA」において、SAPが2020年8月の月例セキュリティパッチをリリースしたことを伝えた。
このリリースには、認証チェックの不具合に関する脆弱性やクロスサイトスクリプティング脆弱性、コードインジェクションの脆弱性などを含む計16件のセキュリティ関連の修正が含まれている。これらの脆弱性を放置すると、任意のコードの実行や情報の盗み出し、システムの制御の乗っ取りなどといった被害を受ける危険性がある。
SAPでは毎月第2火曜日に、「SAP Security Patch Day」として同社製品で発見された脆弱性に関するセキュリティノートをリリースしている。2020年8月のSAP Security Patch Dayでリリースされたセキュリティノートに関する情報は次のページにまとめられている。
リストに挙げられている16件の脆弱性のうち、次の2件は優先度が最も高い「ホットニュース(Hot News)」に分類されている。
- CVE-2020-6287: SAP NetWeaver AS JAVAのLM Configuration Wizardにおける複数の脆弱性
- CVE-2020-6284: SAP NetweaverのKnowledge Managementにおけるクロスサイトスクリプティング脆弱性
このうちCVE-2020-6287は、7月に修正パッチがリリースされた通称「RECON(Remotely Exploitable Code On NetWeaver)」と呼ばれる脆弱性(CVE-2020-6286)に対する追加の修正になる。この脆弱性は攻撃者が認証なしに最大限の権限を持つ管理者ユーザーを作成することができるというもので、悪用されるとシステムを完全に乗っ取ることが可能になる。脆弱性の深刻度を表すCVSSスコアではもっとも深刻な「10」とレーティングされている。