Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1586741-1)
SAP Support Packages
(SAPKB70209, SAPKB73004)
Описание
Web Dynpro ABAP выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Уязвимыми в Web Dynpro ABAP являются только тестовые BSP-приложения. Эти тестовые приложения будут удалены после внесения исправлений. Используйте инструкции по исправлению ошибок или импортируйте соответствующий пакет поддержки.
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 730 SAPKB73001 - SAPKB73003 |
------------------------------------------------------------------------
Войдите в систему и вызовите транзакцию SE80. В Repository Browser выберите записи, относящиеся к BSP-приложениям, и удалите следующие приложения:
WDR_TEST_SES1
WDR_TEST_SUS_B
Теперь необходимо запустить транзакцию SICF и удалить соответствующие службы:
/sap/bc/bsp/sap/wdr_test_ses1
/sap/bc/bsp/sap/wdr_test_sus_b
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 730 SAPKB73001 - SAPKB73003 |
------------------------------------------------------------------------
Войдите в систему и вызовите транзакцию SE80. В Repository Browser выберите записи, относящиеся к BSP-приложениям, и удалите следующие приложения:
WDR_TEST_SES1
WDR_TEST_SUS_B
Теперь необходимо запустить транзакцию SICF и удалить соответствующие службы:
/sap/bc/bsp/sap/wdr_test_ses1
/sap/bc/bsp/sap/wdr_test_sus_b
Ссылки