• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1509929 - Несанкционированное использование функций приложения в FIN-SEM-CPM

Главная Специалистам База уязвимостей Note 1509929 - Несанкционированное использование функций приложения в FIN-SEM-CPM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1509929-6) SAP Support Packages (SAPK-60210INSEMBW, SAPK-60309INSEMBW, SAPK-60410INSEMBW, SAPK-60504INSEMBW, SAPK-60505INSEMBW, SAPK-63402INSEMBW, SAPK-70017INSEMBW, SAPKGS4027, SAPKGS6020)
Описание
FIN-SEM-CPM выполняет функции, обращаясь по особым URL-адресам.  Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.

Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Воспользуйтесь инструкциями по исправлению ошибок, применяя транзакцию SNOTE.
2. Дополнительную информацию и инструкции см. в бюллетене 1520324. Исправления из бюллетеня 1520324 необходимы для реализации данного бюллетеня.
3. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. Создайте отчет ZBSP_XSRF_PARAM_FIN_SEM_CPM в качестве локального объекта вашей системы.
4. Выполните отчет ZBSP_XSRF_PARAM_FIN_SEM_CPM и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет заполнит таблицу BSPTEMPXSRFSTORE базы данных.
5. Необходимо также обновить Java-апплеты. Апплеты и справочник можно найти в соответствующих бюллетенях 650274, 650264, 650252, 650241.
Ссылки