Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1437902-5)
SAP Support Packages
(SAPK-60209INEARETAIL, SAPK-60308INEARETAIL, SAPK-60409INEARETAIL, SAPK-60503INEARETAIL, SAPKGPRC25, SAPKGPRD19)
Описание
1. Некоторые страницы в SAP Retail Store некорректно кодируют параметры OUTPUT (вывода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
2. Некоторые страницы в SAP Retail Store позволяют осуществить межсайтовое выполнение хранимых сценариев.
Это позволяет злоумышленнику внедрить на веб-сайт содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Межсайтовое выполнение хранимых сценариев позволяет также получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
3. SAP Retail Store выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Злоумышленник может использовать межсайтовое выполнение сценариев для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
2. Некоторые страницы в SAP Retail Store позволяют осуществить межсайтовое выполнение хранимых сценариев.
Это позволяет злоумышленнику внедрить на веб-сайт содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Межсайтовое выполнение хранимых сценариев позволяет также получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
3. SAP Retail Store выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Злоумышленник может использовать межсайтовое выполнение сценариев для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Как исправить
Исправления можно внести, воспользовавшись пакетом поддержки или Note Assistant.
Дополнительную информацию и рекомендации см. в бюллетенях 1481392 и 1488500. Исправления из бюллетеней 1481392 и 1488500 необходимы для реализации данного бюллетеня. Если используется тема 99, то необходимо также обратиться к бюллетеню 1510419.
Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в версиях до 604 будет создан отчет ITS_XSRF_XSS_PARAM_SRS.
Выполните отчет ITS_XSRF_XSS_PARAM_SRS и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет добавит служебные параметры для адаптированных ITS-служб (которые обслуживаются при помощи кнопки настройки GUI для службы в рамках транзакции SICF).
Добавьте в конфигурацию GUI внешних алиасов следующие параметры (см. также бюллетень 1107663):
~XSRFCHECK 1
Систему интернет-служб необходимо опубликовать на сайте Integrated ITS, чтобы убедиться в доступности javascript-файла sep_secu.js.
Дополнительную информацию и рекомендации см. в бюллетенях 1481392 и 1488500. Исправления из бюллетеней 1481392 и 1488500 необходимы для реализации данного бюллетеня. Если используется тема 99, то необходимо также обратиться к бюллетеню 1510419.
Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в версиях до 604 будет создан отчет ITS_XSRF_XSS_PARAM_SRS.
Выполните отчет ITS_XSRF_XSS_PARAM_SRS и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет добавит служебные параметры для адаптированных ITS-служб (которые обслуживаются при помощи кнопки настройки GUI для службы в рамках транзакции SICF).
Добавьте в конфигурацию GUI внешних алиасов следующие параметры (см. также бюллетень 1107663):
~XSRFCHECK 1
Систему интернет-служб необходимо опубликовать на сайте Integrated ITS, чтобы убедиться в доступности javascript-файла sep_secu.js.
Ссылки