SAP BusinessObjects是一款商务智能软件和企业绩效解决方案。　　受影响系统：
　　SAP BusinessObjects XI 3.2 Enterprise
　　描述：
　　-------------------------------------------------------------------------------
　　BUGTRAQ ID: 44268
　　CVE ID: CVE-2010-3979,CVE-2010-3980,CVE-2010-3981,CVE-2010-3982,CVE-2010-3983
　　SAP BusinessObjects是一款商务智能软件和企业绩效解决方案。
　　远程攻击者可以利用SAP BusinessObjects的多个脚本和组件中的安全漏洞提升权限、导致拒绝服务、泄露敏感信息或执行跨站脚本。
　　1) dswsbobje/services/session的login SOAP方式根据Login参数的不同而返回不同的响应代码，这可以用于枚举有效的用户账号。
　　2) 在创建CUID期间dswsbobje/services/biplatformHTTP的GenerateCuids SOAP方式中的错误可能允许用户通过传送超长的numCuids参数耗尽可用的资源。
　　3) 由于没有正确的过滤提交给dswsbobje/axis2-admin/engagingglobally的modules参数便返回给了用户，这可能导致跨站脚本攻击。
　　4) CrystalReports/viewrpt.cwr脚本允许通过apstoken参数向任意主机发起连接，这可能导致在受限制的网络中执行端口扫描。
　　5) Central Configuration Manager中的错误允许用户通过Program Job Server获得权限提升。
　　厂商补丁：
　　SAP
　　---
　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载