Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/AU:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
SAP Notes
(1568003-2)
SAP Support Packages
(J2EE_ENGINE_LM_CORE_710_SP010_000004, J2EE_ENGINE_LM_CORE_710_SP011_000004, J2EE_ENGINE_LM_CORE_710_SP012_000002, J2EE_ENGINE_LM_CORE_710_SP013_000000, J2EE_ENGINE_LM_CORE_710_SP999999_999999, J2EE_ENGINE_LM_CORE_711_SP005_000003, J2EE_ENGINE_LM_CORE_711_SP006_000004, J2EE_ENGINE_LM_CORE_711_SP007_000002, J2EE_ENGINE_LM_CORE_711_SP008_000000, J2EE_ENGINE_LM_CORE_711_SP999999_999999, J2EE_ENGINE_LM_CORE_720_SP002_000006, J2EE_ENGINE_LM_CORE_720_SP003_000005, J2EE_ENGINE_LM_CORE_720_SP004_000004, J2EE_ENGINE_LM_CORE_720_SP005_000002, J2EE_ENGINE_LM_CORE_720_SP006_000000, J2EE_ENGINE_LM_CORE_720_SP999999_999999, J2EE_ENGINE_LM_CORE_730_SP001_000002, J2EE_ENGINE_LM_CORE_730_SP002_000002, J2EE_ENGINE_LM_CORE_730_SP003_000000, J2EE_ENGINE_LM_CORE_730_SP999999_999999, SAP_J2EE_ENGINE_640_SP026_000022, SAP_J2EE_ENGINE_640_SP027_000015, SAP_J2EE_ENGINE_640_SP028_000003, SAP_J2EE_ENGINE_640_SP999999_999999, SAP_JAVA_TECH_SERVICES_640_SP029_000000, SAP_JAVA_TECH_SERVICES_640_SP999999_999999, SAP_JAVA_TECH_SERVICES_700_SP021_000030, SAP_JAVA_TECH_SERVICES_700_SP022_000022, SAP_JAVA_TECH_SERVICES_700_SP023_000012, SAP_JAVA_TECH_SERVICES_700_SP024_000004, SAP_JAVA_TECH_SERVICES_700_SP025_000001, SAP_JAVA_TECH_SERVICES_700_SP026_000000, SAP_JAVA_TECH_SERVICES_700_SP999999_999999, SAP_JAVA_TECH_SERVICES_701_SP006_000027, SAP_JAVA_TECH_SERVICES_701_SP007_000016, SAP_JAVA_TECH_SERVICES_701_SP008_000010, SAP_JAVA_TECH_SERVICES_701_SP009_000004, SAP_JAVA_TECH_SERVICES_701_SP010_000001, SAP_JAVA_TECH_SERVICES_701_SP011_000000, SAP_JAVA_TECH_SERVICES_701_SP999999_999999, SAP_JAVA_TECH_SERVICES_702_SP003_000018, SAP_JAVA_TECH_SERVICES_702_SP004_000019, SAP_JAVA_TECH_SERVICES_702_SP005_000012, SAP_JAVA_TECH_SERVICES_702_SP006_000011, SAP_JAVA_TECH_SERVICES_702_SP007_000011, SAP_JAVA_TECH_SERVICES_702_SP008_000002, SAP_JAVA_TECH_SERVICES_702_SP009_000001, SAP_JAVA_TECH_SERVICES_702_SP010_000000, SAP_JAVA_TECH_SERVICES_702_SP999999_999999)
Описание
Страницы в приложении sap.com/tc~monitoring~systeminfo некорректно кодируют параметры INPUT (ввода) и OUTPUT (вывода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Обновите SAP J2EE Engine до исправленной версии.
Ссылки