CVE-2020-6287

**Nome do software vulnerável e versões afetadas:

SAP NetWeaver AS JAVA (LM Configuration Wizard), versões 7.30 a 7.50

Descrição:

A vulnerabilidade está relacionada à falta de autenticação para funções críticas no SAP NetWeaver Java Application Server. Esse problema permite que um invasor execute tarefas de configuração sem autenticação prévia, comprometendo potencialmente a confidencialidade, a integridade e a disponibilidade do sistema. O invasor pode criar um usuário administrativo, levando à ausência de verificação de autenticação. A vulnerabilidade já foi explorada em incidentes reais, com relatos de varreduras em massa em busca de servidores vulneráveis. Instituições financeiras, hospitais e entidades governamentais estão entre os setores afetados.

Recomendações:

Para as versões 7.30 a 7.50 do SAP NetWeaver AS JAVA (LM Configuration Wizard), aplique os patches disponibilizados pela SAP para corrigir a falta de verificação de autenticação. Como solução temporária, considere restringir o acesso ao LM Configuration Wizard para minimizar o risco de exploração. Evite usar o componente vulnerável até que um patch seja aplicado.