Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1524777-2)
SAP Support Packages
(SAPKGPRA32, SAPKGPRB21, SAPKH46C63, SAPKH47036)
Описание
1. Некоторые страницы в SAP Retail Store некорректно кодируют параметры INPUT (ввода) и OUTPUT (вывода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
2. Некоторые страницы в SAP Retail Store позволяют осуществить отраженное межсайтовое выполнение сценариев. Уязвимость позволяет злоумышленнику внедрить на веб-сайт содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Хранимые на сайте коды, использующиеся для межсайтового выполнения сценариев, позволяют получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
2. Некоторые страницы в SAP Retail Store позволяют осуществить отраженное межсайтовое выполнение сценариев. Уязвимость позволяет злоумышленнику внедрить на веб-сайт содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Хранимые на сайте коды, использующиеся для межсайтового выполнения сценариев, позволяют получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Исправления можно внести при помощи пакета поддержки или вручную.
Дополнительную информацию и инструкции см. в бюллетене 1488500. Исправления из бюллетеня 1488500 необходимы для реализации данного бюллетеня. Если используется тема 99, то необходимо также обратиться к бюллетеню 1510419.
При внесении исправлений вручную выполните следующее (см. также "Инструкции по исправлению ошибок"):
Откорректируйте шаблоны ITS, следуя инструкциям из соответствующего ZIP-файла, прикрепленного к данному бюллетеню.
Для всех служб ITS в SAP Retail Store добавьте следующий параметр:
~AUTO_HTML_ESCAPING X
Файлы языковых ресурсов службы wcu2 содержат HTML-теги (, ), которые необходимо удалить, по крайней мере, для языков, используемых на вашем сайте.
Файлы языковых ресурсов (для немецкого языка) служб wosz_wgs, wsti, wsti_doc и wsti_mon содержат HTML-код, представляющий специальные символы, такие как умляуты; например, "Zählung". Замените этот код на соответствующие символы; например, "Zählung".
Реализуйте все службы Retail Store для ITS.
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_APPL SAP Application |
| Версия 46C Все пакеты поддержки |
------------------------------------------------------------------------
Дополнительную информацию и инструкции см. в бюллетене 1488500. Исправления из бюллетеня 1488500 необходимы для реализации данного бюллетеня. Если используется тема 99, то необходимо также обратиться к бюллетеню 1510419.
При внесении исправлений вручную выполните следующее (см. также "Инструкции по исправлению ошибок"):
Откорректируйте шаблоны ITS, следуя инструкциям из соответствующего ZIP-файла, прикрепленного к данному бюллетеню.
Для всех служб ITS в SAP Retail Store добавьте следующий параметр:
~AUTO_HTML_ESCAPING X
Файлы языковых ресурсов службы wcu2 содержат HTML-теги (, ), которые необходимо удалить, по крайней мере, для языков, используемых на вашем сайте.
Файлы языковых ресурсов (для немецкого языка) служб wosz_wgs, wsti, wsti_doc и wsti_mon содержат HTML-код, представляющий специальные символы, такие как умляуты; например, "Zählung". Замените этот код на соответствующие символы; например, "Zählung".
Реализуйте все службы Retail Store для ITS.
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_APPL SAP Application |
| Версия 46C Все пакеты поддержки |
------------------------------------------------------------------------
Ссылки