SAP在其2024年12月的补丁日发布了针对16个漏洞的补丁，其中包括NetWeaver的Adobe文档服务中的一个严重SSRF漏洞。

作为其2024年12月安全补丁日的一部分，SAP解决了16个漏洞。该公司发布了九个新的和四个更新的安全说明。

这些漏洞中最严重的是一个被追踪为CVE-2024-47578（CVSS评分9.1）的问题，位于NetWeaver的Adobe文档服务组件中。拥有管理员权限的攻击者可以利用这个漏洞从易受攻击的web应用程序发送一个精心设计的请求。成功利用可以使攻击者读取或修改任何文件，甚至使整个系统不可用。

该漏洞影响ADSSSAP 7.50版本。

“Adobe文档服务允许拥有管理员权限的攻击者从易受攻击的web应用程序发送精心设计的请求。这通常用于针对通常从外部网络无法访问的防火墙后面的内部系统，从而导致服务器端请求伪造（SSRF）漏洞。”公告中写道。“在成功利用后，攻击者可以读取或修改任何文件，甚至使整个系统不可用。”

该公司还解决了另外两个被追踪为CVE-2024-47579和CVE-2024-47580的漏洞，这些漏洞在同一个被标记为“热点新闻”的安全说明中。

这些漏洞是中级严重性问题，可以被拥有管理员访问权限的攻击者利用来读取服务器上的文件。

“这些漏洞，被追踪为CVE-2024-47578、CVE-2024-47579和CVE-2024-47580，共同使组织面临潜在的服务器端请求伪造（SSRF）、未经授权的文件访问和信息泄露的风险。”Onapsis发布的分析中写道。

SAP还解决了Web Dispatcher中的一个跨站脚本（XSS）漏洞（CVSS评分8.8），被追踪为CVE-2024-47590。

该公司修复了通过远程函数调用（RFC）的信息泄露漏洞，被追踪为CVE-2024-54198（CVSS评分8.5），位于SAP NetWeaver应用服务器ABAP中。

该公司不知道有攻击者在野外利用2024年12月安全补丁日发布的任何一个问题。