Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1488696-3)
SAP Support Packages
(MESSAGING_SYSTEM_SERVICE_710_SP007_000044, MESSAGING_SYSTEM_SERVICE_710_SP008_000033, MESSAGING_SYSTEM_SERVICE_710_SP009_000016, MESSAGING_SYSTEM_SERVICE_710_SP010_000003, MESSAGING_SYSTEM_SERVICE_710_SP011_000000, MESSAGING_SYSTEM_SERVICE_710_SP012_000000, MESSAGING_SYSTEM_SERVICE_710_SP999999_999999, MESSAGING_SYSTEM_SERVICE_711_SP002_000016, MESSAGING_SYSTEM_SERVICE_711_SP003_000020, MESSAGING_SYSTEM_SERVICE_711_SP004_000011, MESSAGING_SYSTEM_SERVICE_711_SP005_000003, MESSAGING_SYSTEM_SERVICE_711_SP006_000000, MESSAGING_SYSTEM_SERVICE_711_SP999999_999999, XI_TOOLS_30_SP023_000008, XI_TOOLS_30_SP024_000007, XI_TOOLS_30_SP025_000004, XI_TOOLS_30_SP026_000002, XI_TOOLS_30_SP999999_999999, XI_TOOLS_700_SP018_000011, XI_TOOLS_700_SP019_000011, XI_TOOLS_700_SP020_000009, XI_TOOLS_700_SP021_000004, XI_TOOLS_700_SP022_000004, XI_TOOLS_700_SP023_000000, XI_TOOLS_700_SP999999_999999, XI_TOOLS_701_SP003_000011, XI_TOOLS_701_SP004_000008, XI_TOOLS_701_SP005_000007, XI_TOOLS_701_SP006_000005, XI_TOOLS_701_SP007_000002, XI_TOOLS_701_SP009_000000, XI_TOOLS_701_SP999999_999999, XI_TOOLS_702_SP003_000001, XI_TOOLS_702_SP004_000002, XI_TOOLS_702_SP005_000000, XI_TOOLS_702_SP999999_999999)
Описание
Страница JSP (Java Server Page), используемая для отображения статуса NW PI, некорректно кодирует входные параметры HTTP, что позволяет осуществить отраженное межсайтовое выполнение сценариев. Межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Начиная с версии 7.1, данная страница заменена на новую, на основе Web Dynpro для Java. Однако старая страница все еще существует.
* Уязвимые версии:
SAP XI 6.40
SAP XI 7.00
SAP XI 7.01
SAP XI 7.02
SAP PI 7.10
SAP PI 7.11
SAP PI 7.30
SAP PI 7.20 не подвержена уязвимости, поскольку PI 7.20 отсутствует
SAP PI 7.31 не подвержена данной уязвимости
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Начиная с версии 7.1, данная страница заменена на новую, на основе Web Dynpro для Java. Однако старая страница все еще существует.
* Уязвимые версии:
SAP XI 6.40
SAP XI 7.00
SAP XI 7.01
SAP XI 7.02
SAP PI 7.10
SAP PI 7.11
SAP PI 7.30
SAP PI 7.20 не подвержена уязвимости, поскольку PI 7.20 отсутствует
SAP PI 7.31 не подвержена данной уязвимости
Как исправить
Представленные исправления устраняют уязвимость. После реализации исправлений, HTTP-клиент (браузер) не будет получать входные параметры HTTP как они есть, они будут поступать без HTML. Это помогает исключить возможность отраженного межсайтового выполнения сценариев.
* Исправленные версии и пакеты исправлений:
SAP XI 6.40 SP23
SAP XI 7.00 SP18
SAP XI 7.01 SP03
SAP XI 7.02 SP03
SAP PI 7.10 SP7
SAP PI 7.11 SP2
SAP PI 7.30 SP0
Используйте пакет поддержки из выше указанного списка или исправления из бюллетеня.
* Исправленные версии и пакеты исправлений:
SAP XI 6.40 SP23
SAP XI 7.00 SP18
SAP XI 7.01 SP03
SAP XI 7.02 SP03
SAP PI 7.10 SP7
SAP PI 7.11 SP2
SAP PI 7.30 SP0
Используйте пакет поддержки из выше указанного списка или исправления из бюллетеня.
Ссылки