VULHUB ™

SAP Business Connector是SAP公司OEM世界著名的中间件厂商Webmethod的中间件产品，允许SAP系统通过开放的无限制的标准与各种不同的应用环境进行集成。 SAP Business Connector（BC）4.6和4.7版本在处理用户请求时存在目录遍历漏洞。远程攻击者可利用此漏洞在非授权读取或删除系统文件。如果将fullName参数更改为/etc/passwd(URL编码)而不是所浏览的＜SAP PATH＞/packages/SAP/logs/new_sap.log，用户就会得到/etc/passwd文件的内容。攻击者可以利用这种方式读取任何SAP BC用户可读的文件。

SAP Business Connector是SAP公司OEM世界著名的中间件厂商Webmethod的中间件产品，允许SAP系统通过开放的无限制的标准与各种不同的应用环境进行集成。 SAP Business Connector（BC）4.6和4.7版本在处理用户请求时存在目录遍历漏洞。远程攻击者可利用此漏洞在非授权读取或删除系统文件。如果将fullName参数更改为/etc/passwd(URL编码)而不是所浏览的＜SAP PATH＞/packages/SAP/logs/new_sap.log，用户就会得到/etc/passwd文件的内容。攻击者可以利用这种方式读取任何SAP BC用户可读的文件。