SAP发布10月份例行安全更新，总共包含6则新的资安公告，并更新6则已经发布的公告。根据CVSS风险评分的高低，最严重的是在8月已经修补的商业智能平台BusinessObjects漏洞CVE-2024-41730，这项漏洞发生的原因是缺乏身分验证的检核，导致在激活单一签入（SSO）的企业环境中，攻击者有机会在未经授权的情况下，窃得登录系统的凭证（Token），CVSS风险达到9.8分。资安业者Onapsis指出，该公司本月更新公告内容，主要是为SBOP BI Platform Servers 4.2 SP009提供对应的修补程序。

另一项该公司提供额外修补程序的高风险漏洞，是今年7月公告的CVE-2024-39592，这项漏洞发生在产品设计成本估算（Product Design Cost Estimating，PDCE）系统，涉及缺乏身分验证检核，CVSS风险为7.7，本月SAP对于SEM-BW 600至SEM-BW 748等附加软件组件，也提供对应的更新软件。

针对本月SAP新公告的漏洞，首先受到研究人员注意的是与Log4j和Spring框架有关的4项漏洞，这些漏洞影响3.0版Enterprise Project Connection，CVSS风险评为8.0。其中的CVE-2024-22259、CVE-2024-38808、CVE-2024-38809，发生在该系统采用的Spring框架，CVE-2022-23302则存在于Log4j组件，这些漏洞的CVSS风险介于4.3至8.8。

另一个高风险漏洞的资安公告，与BusinessObjects产品线有关，这项漏洞涉及Web Intelligence Reporting Server组件，攻击者可在通过身分验证的情况下发送伪造的请求，就有机会从提供服务的主机下载任何文件，从而高度影响应用系统的机密性，CVSS风险评为7.7分。