发布日期：2019-06-12
更新日期：2019-06-12

受影响系统：

SAP NetWeaver Process Integration 7.50
SAP NetWeaver Process Integration 7.40
SAP NetWeaver Process Integration 7.31
SAP NetWeaver Process Integration 7.30
SAP NetWeaver Process Integration 7.11
SAP NetWeaver Process Integration 7.10

描述：

---

BUGTRAQ  ID: 108705
CVE(CAN) ID: CVE-2019-0316

SAP NetWeaver流程集成（SAP PI）是SAP的企业应用程序集成（EAI）软件，是NetWeaver产品组的一个组件，用于促进公司内部软件和系统与外部各方之间的信息交换。在当前版本之前，SAP PI称为SAP Exchange Infrastructure（SAP XI）。与其他NetWeaver组件一样，SAP PI与其他公司的软件产品兼容。

SAP NetWeaver流程集成容易出现跨站点脚本编制漏洞，因为它无法正确清理用户提供的输入。

远程攻击者可以利用此问题在受影响站点的上下文中在不知情用户的浏览器中执行任意脚本代码。这可能允许攻击者窃取基于cookie的身份验证凭据并发起其他攻击。

<*来源：SAP
  
  链接：https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=521864242
*>

建议：

---

厂商补丁：

SAP
---
SAP已经为此发布了一个安全公告（CVE-2019-0316）以及相应补丁:
CVE-2019-0316：SAP Security Patch Day – June 2019
链接：https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=521864242

补丁下载：

浏览次数：2289
严重程度：0（网友投票）