• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1508981 - Несанкционированное использование функций приложений в PA-PD-PM

Главная Специалистам База уязвимостей Note 1508981 - Несанкционированное использование функций приложений в PA-PD-PM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1508981-1) SAP Support Packages (SAPK-110C5INEAHRGXX, SAPK-200A6INEAHRGXX, SAPKA64029, SAPKA70025, SAPKA70110, SAPKA70209, SAPKA71013, SAPKA71108, SAPKA73004)
Описание
'PA-PD-PM' выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Исправления из бюллетеня 1520324 необходимы для реализации данного бюллетеня.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В зависимости от версии в системе будет создан один из нижеперечисленных отчетов.
EA-HRGXX 110: BSP_XSRF_PARAM_HAP_DOC_110
EA-HRGXX 200: BSP_XSRF_PARAM_HAP_DOC_200
SAP_ABA 640: BSP_XSRF_PARAM_HAP_DOC_640
SAP_ABA 700: BSP_XSRF_PARAM_HAP_DOC_700
SAP_ABA 701: BSP_XSRF_PARAM_HAP_DOC_701
SAP_ABA 702: BSP_XSRF_PARAM_HAP_DOC_702
SAP_ABA 710: BSP_XSRF_PARAM_HAP_DOC_710
SAP_ABA 711: BSP_XSRF_PARAM_HAP_DOC_711
SAP_ABA 730: BSP_XSRF_PARAM_HAP_DOC_730
3. Выполните отчет и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет заполнит таблицу BSPTEMPXSRFSTORE базы данных соответствующими данными BSP-приложений.
Ссылки