• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1437902 - Несанкционированное использование и изменение SAP Retail Store

Главная Специалистам База уязвимостей Note 1437902 - Несанкционированное использование и изменение SAP Retail Store

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1437902-5) SAP Support Packages (SAPK-60209INEARETAIL, SAPK-60308INEARETAIL, SAPK-60409INEARETAIL, SAPK-60503INEARETAIL, SAPKGPRC25, SAPKGPRD19)
Описание
1. Некоторые страницы в SAP Retail Store некорректно кодируют параметры OUTPUT (вывода), что позволяет осуществить отраженное межсайтовое выполнение сценариев.  Межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.

2. Некоторые страницы в SAP Retail Store позволяют осуществить межсайтовое выполнение хранимых сценариев.
Это позволяет злоумышленнику внедрить на веб-сайт содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Межсайтовое выполнение хранимых сценариев позволяет также получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.

3. SAP Retail Store выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Злоумышленник может использовать межсайтовое выполнение сценариев для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Как исправить
Исправления можно внести, воспользовавшись пакетом поддержки или Note Assistant.

Дополнительную информацию и рекомендации см. в бюллетенях 1481392 и 1488500. Исправления из бюллетеней 1481392 и 1488500 необходимы для реализации данного бюллетеня. Если используется тема 99, то необходимо также обратиться к бюллетеню 1510419.

Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в версиях до 604 будет создан отчет ITS_XSRF_XSS_PARAM_SRS.
Выполните отчет ITS_XSRF_XSS_PARAM_SRS и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет добавит служебные параметры для адаптированных ITS-служб (которые обслуживаются при помощи кнопки настройки GUI для службы в рамках транзакции SICF).

Добавьте в конфигурацию GUI внешних алиасов следующие параметры (см. также бюллетень 1107663):
~XSRFCHECK 1

Систему интернет-служб необходимо опубликовать на сайте Integrated ITS, чтобы убедиться в доступности javascript-файла sep_secu.js.
Ссылки