• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1546307 - Несанкционированное изменение отображаемого содержимого в tc~sec~vsi

Главная Специалистам База уязвимостей Note 1546307 - Несанкционированное изменение отображаемого содержимого в tc~sec~vsi

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/AU:N/C:N/I:P/A:N)
Производитель ПО
SAP
Наименование ПО
SAP Notes (1546307-4) SAP Support Packages (J2EE_ENGINE_APPLICATIONS_710_SP009_000002, J2EE_ENGINE_APPLICATIONS_710_SP010_000005, J2EE_ENGINE_APPLICATIONS_710_SP011_000002, J2EE_ENGINE_APPLICATIONS_710_SP012_000000, J2EE_ENGINE_APPLICATIONS_710_SP013_000000, J2EE_ENGINE_APPLICATIONS_710_SP999999_999999, J2EE_ENGINE_APPLICATIONS_711_SP004_000012, J2EE_ENGINE_APPLICATIONS_711_SP005_000011, J2EE_ENGINE_APPLICATIONS_711_SP006_000005, J2EE_ENGINE_APPLICATIONS_711_SP007_000000, J2EE_ENGINE_APPLICATIONS_711_SP008_000000, J2EE_ENGINE_APPLICATIONS_711_SP999999_999999, J2EE_ENGINE_APPLICATIONS_720_SP001_000008, J2EE_ENGINE_APPLICATIONS_720_SP002_000009, J2EE_ENGINE_APPLICATIONS_720_SP003_000011, J2EE_ENGINE_APPLICATIONS_720_SP004_000007, J2EE_ENGINE_APPLICATIONS_720_SP005_000000, J2EE_ENGINE_APPLICATIONS_720_SP999999_999999, J2EE_ENGINE_APPLICATIONS_730_SP001_000002, J2EE_ENGINE_APPLICATIONS_730_SP002_000002, J2EE_ENGINE_APPLICATIONS_730_SP003_000000, J2EE_ENGINE_APPLICATIONS_730_SP999999_999999, SAP_J2EE_ENGINE_640_SP024_000011, SAP_J2EE_ENGINE_640_SP025_000017, SAP_J2EE_ENGINE_640_SP026_000016, SAP_J2EE_ENGINE_640_SP027_000010, SAP_J2EE_ENGINE_640_SP999999_999999, SAP_JAVA_TECH_SERVICES_640_SP028_000000, SAP_JAVA_TECH_SERVICES_640_SP999999_999999, SAP_JAVA_TECH_SERVICES_700_SP021_000027, SAP_JAVA_TECH_SERVICES_700_SP022_000018, SAP_JAVA_TECH_SERVICES_700_SP023_000006, SAP_JAVA_TECH_SERVICES_700_SP024_000000, SAP_JAVA_TECH_SERVICES_700_SP025_000000, SAP_JAVA_TECH_SERVICES_700_SP999999_999999, SAP_JAVA_TECH_SERVICES_701_SP006_000025, SAP_JAVA_TECH_SERVICES_701_SP007_000014, SAP_JAVA_TECH_SERVICES_701_SP008_000007, SAP_JAVA_TECH_SERVICES_701_SP009_000000, SAP_JAVA_TECH_SERVICES_701_SP010_000000, SAP_JAVA_TECH_SERVICES_701_SP999999_999999, SAP_JAVA_TECH_SERVICES_702_SP004_000016, SAP_JAVA_TECH_SERVICES_702_SP005_000010, SAP_JAVA_TECH_SERVICES_702_SP006_000007, SAP_JAVA_TECH_SERVICES_702_SP007_000003, SAP_JAVA_TECH_SERVICES_702_SP008_000000, SAP_JAVA_TECH_SERVICES_702_SP999999_999999)
Описание
Страницы VsiTestScan и VsiTestServlet в tc~sec~vsi~app некорректно кодируют параметры вывода (output), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Доступны следующие варианты:
1. Удалите J2EE-приложения tc~sec~vsi~app, поскольку для продуктивных систем они не требуются; они нужны только для тестирования.
2. Установите исправления, указанные в данном бюллетене в разделе SP Patch Level.
Ссылки