发布日期：2009-04-15
更新日期：2009-04-16

受影响系统：

SAP Sapgui 7.10 Patch 5
SAP Sapgui 6.40 Patch 29

描述：

---

BUGTRAQ  ID: 34524
CVE(CAN) ID: CVE-2008-4830

SAPgui是SAP软件的图形用户界面客户端。

SAPgui所捆绑的KWEdit ActiveX控件（KWEDIT.DLL）提供了不安全的SaveDocumentAs()函数。如果用户受骗访问了恶意网页的话，该函数可能将HTML文档保存到指定的位置。如果结合OpenDocument()方式的话，远程攻击者就可以泄露任意文件的内容，或在用户系统上执行任意代码。

<*来源：Carsten Eiram
  
  链接：http://secunia.com/secunia_research/2008-56/
*>

建议：

---

厂商补丁：

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://service.sap.com/sap/support/notes/1294913

浏览次数：2663
严重程度：0（网友投票）