• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1525149 - Несанкционированное использование функций приложений в IS-AFS

Главная Специалистам База уязвимостей Note 1525149 - Несанкционированное использование функций приложений в IS-AFS

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1525149-2) SAP Support Packages (SAPK-60011INAFS, SAPK-60307INP3A, SAPK-60404INP3A, SAPK-60501INP3A, SAPKIAF513)
Описание
IS-AFS выполняет функции, обращаясь по особым URL-адресам.  Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию. Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетене 1481392. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1481392.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. Создайте отчет /AFS/ITS_XSRF_PARAM_PO_CONF в качестве локального объекта вашей системы.
3. Выполните отчет /AFS/ITS_XSRF_PARAM_PO_CONF и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет добавит служебные параметры для адаптированных ITS-служб (которые обслуживаются при помощи кнопки настройки GUI для служб в рамках транзакции SICF).
Ссылки