• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1539599 - Несанкционированное использование функций приложений в Duet Enterprise

Главная Специалистам База уязвимостей Note 1539599 - Несанкционированное использование функций приложений в Duet Enterprise

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1539599-6)
Описание
Duet Enterprise 1.0 выполняет функции, используя элементы пользовательского интерфейса. Если злоумышленник заставит пользователя, прошедшего аутентификацию, открыть специально сформированный веб-сайт, то функция будет выполнена с правами пользователя, прошедшего аутентификацию. Злоумышленник может отправить зарегистрированному пользователю ссылку в целях обмана.
Как исправить
Необходимо установить исправление уязвимостей безопасности, входящее в состав Reporting WSP [Sharepoint installer], в соответствии со стандартными рекомендациями по использованию Sharepoint.

Описание исправления [Техническое]:
Для устранения уязвимости типа "межсайтовая подмена запроса" были внесены следующие исправления:
1. Для операций AlertMe/RunReport необходимо заменить запросы GET на POST. Это позволяет осуществить проверку достоверности запросов POST на сервере SharePoint, используя предложенный Microsoft механизм RequestDigest.
2. Нераспознанные команды в запросах POST отклоняются и не вызывают никаких действий.
3. Более того, в код SharePoint были внесены изменения, чтобы добавить шифрование всех выходных данных, полученных в качестве вводимых напрямую входных пользовательских данных в SharePoint или записей в системе SAP.
Ссылки