SAP NetWeaver Application Server Java (Web Dynpro Java) 中的代码注入 (Code Injection) 漏洞

该漏洞允许未经身份验证的攻击者通过精心构造的输入，使应用程序引用攻击者控制的内容。当受害者访问受影响的功能时，攻击者控制的内容可能会在受害者的浏览器中执行。这可能导致攻击者执行任意客户端代码，从而影响应用程序的机密性和完整性。攻击者可能窃取敏感数据，篡改应用程序行为，甚至完全控制受害者会话。由于攻击者无需身份验证即可利用此漏洞，因此其潜在影响范围非常广泛，可能影响所有使用受影响版本的 SAP NetWeaver Application Server Java (Web Dynpro Java) 的用户。

Organizations heavily reliant on SAP NetWeaver Application Server Java (Web Dynpro Java) for critical business processes are at significant risk. Specifically, deployments using the affected version 7.50–WD-RUNTIME 7.50 are immediately vulnerable. Environments with weak input validation practices or lacking WAF protection are particularly susceptible to exploitation.

• java / server:

# Check for suspicious user input handling in Web Dynpro Java code
grep -r 'userInput.toString()' /path/to/application/code

• generic web:

# Monitor access logs for unusual requests containing potentially malicious input
 grep -i 'script' /var/log/apache2/access.log

1. 2026-04-14Disclosure

   disclosure

1. 已保留2026-02-23
2. 发布日期2026-04-14
3. 修改日期2026-04-15
4. EPSS 更新日期2026-04-21

SAP 已经发布了针对此漏洞的补丁。建议尽快将 SAP NetWeaver Application Server Java (Web Dynpro Java) 升级到已修复的版本。如果无法立即升级，可以考虑以下缓解措施：限制对受影响功能的访问，实施严格的输入验证，并使用 Web 应用程序防火墙 (WAF) 来过滤恶意输入。监控应用程序日志，查找可疑活动。在升级后，请确认漏洞已修复，例如通过运行 SAP 提供的安全测试工具。