Note 2793144不能推断有关tomcat的任何内容，它在jquery本身的代码中列出了一个修复程序，此注释所提供的产品（非BOE）中提供了该修复程序。

jquery不存在 与tomcat一起，它随BOE webapp一起提供，因此升级tomcat不会解决可能的问题。

每注 https://launchpad.support.sap.com/#/notes/2763257 带有jquery的已知漏洞已在4.2 Sp7中修复。
如果发现的漏洞具有CVE，并且该漏洞是 不同于该说明中的内容-您应该引发事件以便对其进行调查

列出的CVE为CVE-2019-11358

我可以找到的唯一汁液注释是

2793144-消除了可能的jquery漏洞

这看起来像是提出一种手动解决方案，其中提到了停止原型污染。

在CVE-2019-11358上进行快速Google搜索时，除了提到原型污染之外，还提到了很多其他东西，例如跨站点脚本编写

https://www.securityfocus.com/bid/108023/references

您是否知道按照sap note 2793144中的建议可以消除CVE-2019-11358的所有漏洞？

感谢更新。

是否计划了带有jquery 3.4.1的BO 4.2 Service Pack-安全报告特别提到了jquery 3.41将解决此问题？

试图查看下面的汁液注释和提及。

我可以查看其他具有管理员权限的汁液注释。

由于某些原因，此注释是否对客户不可用？

您无权访问SAP Note/KBA 2763257。

您尝试访问的SAP Note/KBA的目标受众与您的个人资料不匹配。

1）jQuery是否与tomcat一起提供？

否，但这并不相关。 jQuery包含在BOE Web应用程序中，因此，即使Tomcat包含了jQuery，旧版本仍将保留在BOE中。 您已经在BI4.2 SP08中找到了3.3.1，这在这里适用。

链接到的文章暗示，您可以在jQuery中进行更改 BOE下的源文件。 那可能是最好的解决方案，但我会联系技术支持进行确认。

感谢更新。

我们有BO 4.2 SP05，看起来根据树液注释可以将手动更改应用于

3.4.0以下的任何版本，例如BO 4.2 SP05中的1.8.3

在BO 4.2中，3.4.1似乎没有可用的Service Pack。

已按照sap note 2793144中的建议将手动更改应用于我们的测试系统-删除了可能的jquery漏洞，但这给出了http status 500错误

HTTP状态500 –内部服务器错误

类型异常报告

尝试调用从局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet（）时出现的消息

说明服务器遇到意外状况，阻止其满足请求。

例外

 java.lang.NullPointerException：尝试调用从局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet（）时
 com.businessobjects.servletbridge.customconfig.Config。（Config.java:37）
 com.businessobjects.servletbridge.customconfig.ConfigReader.getConfig（ConfigReader.java:370）
 com.businessobjects.pinger.TimeoutManagerFilter.getSessionState（TimeoutManagerFilter.java:216）
 com.businessobjects.pinger.TimeoutManagerFilter.doFilter（TimeoutManagerFilter.java:82）
 

注意在服务器日志中可以找到根本原因的完整堆栈跟踪。

Apache Tomcat/8.5.42

在服务器日志中查找

应用了这种方法后，任何人都看到了类似的东西。

2020年3月2日，上午11:46:02 org.apache.catalina.core.StandardWrapperValve在路径为[/BOE]的上下文中为Servlet [equinoxbridgeservlet]调用SEVERE：Servlet.service（）引发异常java.lang.NullPointerException ：尝试在com上调用从com.businessobjects.servletbridge.customconfig.Config。（Config.java:37）上的局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet（）时 com.businessobjects.pinger.TimeoutManagerFilter.getSessionState（TimeoutManagerFilter.java:216：com.businessobjects.pinger.TimeoutManagerFilter.doFilter（TimeoutManagerFilter.java:82）上的.businessobjects.servletbridge.customconfig.ConfigReader.getConfig（ConfigReader.java:370） ）在org.apache.catalina.core.ApplicationFilterChain.doFilter（ApplicationFilterChain.java:166）在org.apache.catalina.core.ApplicationFilterChain.internalDoFilter（ApplicationFilterChain.java:193）在org.apache.catalina.core.StandardWrapperValve。 在org.a上调用（StandardWrapperValve.java:199） 位于org.apache.catalina.authenticator.AuthenticatorBase.invoke（AuthenticatorBase.java:493 :)的pache.catalina.core.StandardContextValve.invoke（StandardContextValve.java:96），位于org.apache.catalina.core.StandardHostValve.invoke（StandardHostValve。 java：137）位于org.apache.catalina.valves.ErrorReportValve.invoke（ErrorReportValve.java:81）位于org.apache.catalina.valves.AbstractAccessLogValve.invoke（AbstractAccessLogValve.java:660）位于org.apache.catalina.core 位于org.apache.catalina.connector.CoyoteAdapter.service（CoyoteAdapter.java:343）的org.apache.coyote.http11.Http11Processor.service（Http11Processor.java:798）的.StandardEngineValve.invoke（StandardEngineValve.java:87） org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor上的org.apache.coyote.AbstractProcessorLight.process（AbstractProcessorLight.java:66）在org.apache.coyote.AbstractProtocol $ ConnectionHandler.process（AbstractProtocol.java:808）在org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor。 org.apache.tomcat.util.net.SocketProcessorBase.run（SocketProcessorBase.j）上的doRun（NioEndpoint.java:1498） ava：49）at java.util.concurrent.ThreadPoolExecutor.runWorker（ThreadPoolExecutor.java:1142）at org.apache.tomcat.util.threads处的java.util.concurrent.ThreadPoolExecutor $ Worker.run（ThreadPoolExecutor.java:617） .TaskThread $ WrappingRunnable.run（TaskThread.java:61）at java.lang.Thread.run（Thread.java:808）