Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1576708-1)
SAP Support Packages
(ENTERPRISE_WORKSPACES_10_SP001_000002, ENTERPRISE_WORKSPACES_10_SP002_000001, ENTERPRISE_WORKSPACES_10_SP003_000000, ENTERPRISE_WORKSPACES_10_SP999999_999999)
Описание
Некоторые операции EWS позволяют реализовать межсайтовое выполнение сценариев.
Уязвимость позволяет злоумышленнику внедрить содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Хранимые на сайте коды для реализации межсайтового выполнения сценариев позволяют получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Уязвимость позволяет злоумышленнику внедрить содержимое, которое будет автоматически отображаться для всех потенциальных жертв.
Хранимые на сайте коды для реализации межсайтового выполнения сценариев позволяют получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии.
Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Исправление является частью EWS 1.1 SP0.
Ссылки