CVE-2018-2380 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SAP CRM 存在**目录遍历漏洞**。 🔥 **后果**:攻击者通过构造特制请求,可在**应用程序上下文**中检索**任意文件**,导致敏感信息泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:程序对**路径信息验证不充分**。 ⚠️ **缺陷点**:未严格过滤用户输入的目录遍历序列(如 `../`),导致越权访问。
Q3影响谁?(版本/组件)
🏢 **受影响产品**:SAP CRM (Customer Relationship Management)。 📦 **具体版本**:7.01, 7.02, 7.30, 7.31, 7.33, 7.54。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**: 1. **读取任意文件**:获取系统敏感数据。 2. **提权跳板**:结合日志注入,可进一步实现**远程命令执行 (RCE)**。
Q5利用门槛高吗?(认证/配置)
🔑 **利用门槛**: - 基础利用:需发送特制请求。 - 高级利用(RCE):需要**管理员账号密码**(可通过其他遍历漏洞获取)。 - 需访问 SAP NetWeaver AS Java 端口。
Q6有现成Exp吗?(PoC/在野利用)
💣 **现成Exp**: - ✅ **有 PoC**:GitHub 上有 `crm_rce-CVE-2018-2380.py` 脚本。 - 📝 **功能**:支持通过日志注入实现远程命令执行。 - 🌐 **在野**:Exploit-DB 收录 (ID: 44292)。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **版本核查**:确认是否运行在列出的 7.01-7.54 版本。 2. **请求检测**:监控 HTTP 请求中是否包含 `../` 等目录遍历特征。 3. **日志审计**:检查是否有异常的文件读取或日志注入尝试。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: - ✅ **已发布补丁**:参考 SAP 安全补丁公告 (2018年2月)。 - 📄 **官方笔记**:SAP Note 2547431 提供了确认和修复指引。
Q9没补丁咋办?(临时规避)
⏳ **临时规避**: 1. **网络隔离**:限制 SAP NetWeaver AS Java 端口的访问权限。 2. **WAF 防护**:配置规则拦截目录遍历字符和日志注入 payload。 3. **最小权限**:确保应用服务账号权限最小化。
Q10急不急?(优先级建议)
🚀 **优先级**:🔴 **高**。 💡 **理由**:CVSS 评分 **6.6**,且存在**远程命令执行 (RCE)** 的 PoC,攻击路径清晰,危害极大,建议立即修补。