SAP發布10月份例行安全更新，總共包含6則新的資安公告，並更新6則已經發布的公告。根據CVSS風險評分的高低，最嚴重的是在8月已經修補的商業智慧平臺BusinessObjects漏洞CVE-2024-41730，這項漏洞發生的原因是缺乏身分驗證的檢核，導致在啟用單一簽入（SSO）的企業環境中，攻擊者有機會在未經授權的情況下，竊得登入系統的憑證（Token），CVSS風險達到9.8分。資安業者Onapsis指出，該公司本月更新公告內容，主要是為SBOP BI Platform Servers 4.2 SP009提供對應的修補程式。

另一項該公司提供額外修補程式的高風險漏洞，是今年7月公告的CVE-2024-39592，這項漏洞發生在產品設計成本估算（Product Design Cost Estimating，PDCE）系統，涉及缺乏身分驗證檢核，CVSS風險為7.7，本月SAP對於SEM-BW 600至SEM-BW 748等附加軟體元件，也提供對應的更新軟體。

針對本月SAP新公告的漏洞，首先受到研究人員注意的是與Log4j和Spring框架有關的4項漏洞，這些漏洞影響3.0版Enterprise Project Connection，CVSS風險評為8.0。其中的CVE-2024-22259、CVE-2024-38808、CVE-2024-38809，發生在該系統採用的Spring框架，CVE-2022-23302則存在於Log4j元件，這些漏洞的CVSS風險介於4.3至8.8。

另一個高風險漏洞的資安公告，與BusinessObjects產品線有關，這項漏洞涉及Web Intelligence Reporting Server元件，攻擊者可在通過身分驗證的情況下發送偽造的請求，就有機會從提供服務的主機下載任何檔案，從而高度影響應用系統的機密性，CVSS風險評為7.7分。