• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1592256 - Несанкционированное использование функций приложения в CRM

Главная Специалистам База уязвимостей Note 1592256 - Несанкционированное использование функций приложения в CRM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1592256-2) SAP Support Packages (SAPKU50020, SAPKU52011, SAPKU60011, SAPKU70011, SAPKU70107)
Описание
CRM-MKT-ISM, CRM-ISE, CRM-MD-PCT, CRM-ISA, CRM-ANA-PS и CRM-MD-PRO выполняют функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Внимание! Следующие версии приложений BSP являются устаревшими. Из соображений безопасности данные приложения в SAP были обновлены. Указанные ниже приложения BSP не должны использоваться в дальнейшем:
CRM_MKTISM_TEST, ICSS_CONSUM_REG, COM_PCAT_IMSD_REPL_SHOW, CRM_ISA_AGENT, CRM_KPI_DEMO, COM_BSP_IO_MAP, CRM_PRODUCT_GETLIST

1. Дополнительную информацию и инструкции см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.

2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_CRM_VARIOUS.

3. Выполните отчет BSP_XSRF_PARAM_CRM_VARIOUS и укажите, при необходимости, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки