Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1545965-3)
SAP Support Packages
(EP_RUNTIME_710_SP007_000008, EP_RUNTIME_710_SP008_000002, EP_RUNTIME_710_SP009_000002, EP_RUNTIME_710_SP010_000003, EP_RUNTIME_710_SP011_000002, EP_RUNTIME_710_SP012_000000, EP_RUNTIME_710_SP999999_999999, EP_RUNTIME_711_SP003_000010, EP_RUNTIME_711_SP004_000007, EP_RUNTIME_711_SP005_000002, EP_RUNTIME_711_SP006_000002, EP_RUNTIME_711_SP007_000000, EP_RUNTIME_711_SP999999_999999, EP_RUNTIME_720_SP001_000001, EP_RUNTIME_720_SP002_000004, EP_RUNTIME_720_SP003_000003, EP_RUNTIME_720_SP004_000002, EP_RUNTIME_720_SP005_000000, EP_RUNTIME_720_SP999999_999999, EP_RUNTIME_730_SP002_000000, EP_RUNTIME_730_SP003_000000, EP_RUNTIME_730_SP999999_999999, PORTAL_700_SP019_000010, PORTAL_700_SP020_000009, PORTAL_700_SP021_000008, PORTAL_700_SP022_000011, PORTAL_700_SP023_000002, PORTAL_700_SP024_000000, PORTAL_700_SP999999_999999, PORTAL_701_SP004_000010, PORTAL_701_SP005_000012, PORTAL_701_SP006_000026, PORTAL_701_SP007_000013, PORTAL_701_SP008_000002, PORTAL_701_SP009_000000, PORTAL_701_SP999999_999999, PORTAL_702_SP003_000007, PORTAL_702_SP004_000008, PORTAL_702_SP005_000003, PORTAL_702_SP006_000003, PORTAL_702_SP007_000000, PORTAL_702_SP999999_999999, PORTAL_PLATFORM_60_640_SP025_000003, PORTAL_PLATFORM_60_640_SP026_000003, PORTAL_PLATFORM_60_640_SP027_000002, PORTAL_PLATFORM_60_640_SP028_000000, PORTAL_PLATFORM_60_640_SP999999_999999)
Описание
Role Upload некорректно кодирует параметры INPUT (ввода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Необходимые условия:
Установлена одна из следующих версий:
- SAP Netweaver 04 SP27
- SAP NetWeaver 7.0 SP23
- SAP пакет расширения функциональности 1 SP8 для SAP NetWeaver 7.0
- SAP пакет расширения функциональности 2 SP6 для SAP NetWeaver 7.0
- SAP Netweaver 7.1 SP011
- SAP пакет расширения функциональности 1 SP6 для SAP Netweaver 7.1
- SAP Netweaver 7.2 SP4
- SAP Netweaver 7.3 SP2
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Необходимые условия:
Установлена одна из следующих версий:
- SAP Netweaver 04 SP27
- SAP NetWeaver 7.0 SP23
- SAP пакет расширения функциональности 1 SP8 для SAP NetWeaver 7.0
- SAP пакет расширения функциональности 2 SP6 для SAP NetWeaver 7.0
- SAP Netweaver 7.1 SP011
- SAP пакет расширения функциональности 1 SP6 для SAP Netweaver 7.1
- SAP Netweaver 7.2 SP4
- SAP Netweaver 7.3 SP2
Как исправить
Исправления являются частью перечисленных здесь версий.
Установите последние исправления/обновления этих версий:
- SAP Netweaver 04 с SP25 по SP27
- SAP NetWeaver 7.0 с SP19 по SP23
- SAP пакет расширения функциональности 1 с SP4 по SP8 для SAP NetWeaver 7.0
- SAP пакет расширения функциональности 2 с SP3 по SP6 для SAP NetWeaver 7.0
- SAP Netweaver 7.1 с SP7 по SP011
- SAP пакет расширения функциональности 1 с SP3 по SP6 для SAP Netweaver 7.1
- SAP Netweaver 7.2 с SP1 по SP4
- SAP Netweaver 7.3 с SP1 по SP2
Установите последние исправления/обновления этих версий:
- SAP Netweaver 04 с SP25 по SP27
- SAP NetWeaver 7.0 с SP19 по SP23
- SAP пакет расширения функциональности 1 с SP4 по SP8 для SAP NetWeaver 7.0
- SAP пакет расширения функциональности 2 с SP3 по SP6 для SAP NetWeaver 7.0
- SAP Netweaver 7.1 с SP7 по SP011
- SAP пакет расширения функциональности 1 с SP3 по SP6 для SAP Netweaver 7.1
- SAP Netweaver 7.2 с SP1 по SP4
- SAP Netweaver 7.3 с SP1 по SP2
Ссылки