一、漏洞详情

在SAP NetWeaver AS Java 的LM配置向导中缺乏身份验证，未经身份验证的远程攻击者可以执行有危害的操作，包括但不限于创建管理员用户。攻击者可能获得对adm的访问权限，adm是操作系统用户，它可以无限制地访问与SAP系统相关的所有本地资源。

二、影响范围

AP NetWeaver：7.30, 7.31, 7.40, 7.50

其中潜在受影响的SAP解决方案包括（但不限于）：

SAP Enterprise Resource Planning

SAP Product Lifecycle Management

SAP Customer Relationship Management

SAP Supply Chain Management

SAP Supplier Relationship Management

SAP NetWeaver Business Warehouse

SAP Business Intelligence

SAP NetWeaver Mobile Infrastructure

SAP Enterprise Portal

SAP Process Orchestration/Process Integration

SAP Solution Manager

SAP NetWeaver Development Infrastructure

SAP Central Process Scheduling

SAP NetWeaver Composition Environment

SAP Landscape Manager

三、修复方案

通用修补建议：

升级到最新版本，下载地址为：
   https://launchpad.support.sap.com/#/notes/2934135

临时修补建议：

如果不能应用补丁,建议的解决方案是禁用LM配置。