SAP本周发布了最新的安全补丁集，总共带来了23个安全说明，其中有5个解决了热门新闻漏洞。

最重要的缺陷是SAP Commerce中缺少一个XML验证漏洞。该漏洞跟踪为CVE-2020-6238，CVSS评分为9.3，可以远程利用此漏洞，并且不需要身份验证。

能够成功利用安全问题的攻击者可以从系统读取敏感文件和数据。在某些受限场景，攻击者甚至可以影响可用性，Onapsis，专门在确保SAP和Oracle软件的坚定，揭示。

作为2020年4月SAP安全补丁日的一部分发布的另一项热门新闻安全说明，解决了SAP NetWeaver中的目录遍历漏洞（CVE-2020-6225，CVSS评分为9.1）。

问题出在NetWeaver知识管理中，这是一个集中访问点，允许用户浏览文件夹，管理文件等。Onapsis解释说，它还允许用户上传文件，但是对输入的验证不足可能会使攻击者“覆盖，删除或破坏任意文件”。

另一个热门新闻安全说明解决了SAP BusinessObjects Business Intelligence平台中的反序列化漏洞，该漏洞可能导致远程命令执行。跟踪为CVE-2020-6219（CVSS分数9.1），此问题允许对特定组件的参数进行操作。

SAP还发布了热点新闻安全说明，以解决OrientDB 3.0中的代码注入漏洞。漏洞跟踪为CVE-2020-6230，CVSS评分为9.1，需要身份验证和脚本执行特权。

2020年4月安全补丁程序日发布的第五个安全说明是对2019年11月补丁程序日发布的补丁程序的更新，该补丁程序解决了SAP Diagnostics Agent中的OS命令注入漏洞（CVE-2019-0330，CVSS评分为9.1）。

作为2020年4月补丁日的一部分，总共发布了五份“高优先级安全说明”，其中最重要的是SAP解决方案管理器（诊断代理）中缺少身份验证检查。

此漏洞跟踪为CVE-2020-6235，CVSS评分为8.6，该漏洞可能允许攻击者读取敏感信息或滥用组件中缺少身份验证检查的权限来访问管理或其他特权功能。

SAP已解决的其他高优先级错误包括Business Objects Business Intelligence平台（CVE-2020-6237）中的信息披露问题以及Host Agent（CVE-2020-6234）和Landscape Management 3.0 / SAP Adaptive Extensions（CVE）中的特权提升漏洞-2020-6236）。

第五个高优先级说明是对2020年3月补丁日发布的安全说明的更新，该更新解决了Business Objects Business Intelligence平台（Crystal Reports）中的远程代码执行错误，跟踪为CVE-2020-6208，CVSS评分为8.1。

其余所有安全说明解决了Business Objects Business Intelligence平台，ERP＆S / 4 HANA，NetWeaver，Fiori Launchpad，Business Client，S / 4 HANA和SAP Commerce中的中等优先级漏洞。