Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/AU:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
SAP Notes
(1591749-2)
SAP Support Packages
(J2EE_ENGINE_APPLICATIONS_711_SP004_000013, J2EE_ENGINE_APPLICATIONS_711_SP005_000013, J2EE_ENGINE_APPLICATIONS_711_SP006_000007, J2EE_ENGINE_APPLICATIONS_711_SP007_000001, J2EE_ENGINE_APPLICATIONS_711_SP008_000000, J2EE_ENGINE_APPLICATIONS_711_SP999999_999999, J2EE_ENGINE_APPLICATIONS_720_SP002_000010, J2EE_ENGINE_APPLICATIONS_720_SP003_000012, J2EE_ENGINE_APPLICATIONS_720_SP004_000008, J2EE_ENGINE_APPLICATIONS_720_SP005_000001, J2EE_ENGINE_APPLICATIONS_720_SP006_000000, J2EE_ENGINE_APPLICATIONS_720_SP999999_999999, J2EE_ENGINE_APPLICATIONS_730_SP001_000003, J2EE_ENGINE_APPLICATIONS_730_SP002_000003, J2EE_ENGINE_APPLICATIONS_730_SP003_000001, J2EE_ENGINE_APPLICATIONS_730_SP004_000000, J2EE_ENGINE_APPLICATIONS_730_SP999999_999999)
Описание
Страницы в TextContainerAdmin некорректно кодируют параметры вывода (OUTPUT), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Для устранения уязвимости необходимо установить пакет поддержки из данного бюллетеня.
Функции выше указанного веб-приложения не используются в рассматриваемых версиях. Поэтому, после установки пакета поддержки с исправлениями, оно будет отображать пустые страницы.
Функции выше указанного веб-приложения не используются в рассматриваемых версиях. Поэтому, после установки пакета поддержки с исправлениями, оно будет отображать пустые страницы.
Ссылки