• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1586741 - Несанкционированное использование функций приложений в WDA

Главная Специалистам База уязвимостей Note 1586741 - Несанкционированное использование функций приложений в WDA

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1586741-1) SAP Support Packages (SAPKB70209, SAPKB73004)
Описание
Web Dynpro ABAP выполняет функции, обращаясь по особым URL-адресам.  Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Уязвимыми в Web Dynpro ABAP являются только тестовые BSP-приложения. Эти тестовые приложения будут удалены после внесения исправлений. Используйте инструкции по исправлению ошибок или импортируйте соответствующий пакет поддержки.




------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 730 SAPKB73001 - SAPKB73003 |
------------------------------------------------------------------------

Войдите в систему и вызовите транзакцию SE80. В Repository Browser выберите записи, относящиеся к BSP-приложениям, и удалите следующие приложения:
WDR_TEST_SES1
WDR_TEST_SUS_B
Теперь необходимо запустить транзакцию SICF и удалить соответствующие службы:
/sap/bc/bsp/sap/wdr_test_ses1
/sap/bc/bsp/sap/wdr_test_sus_b
Ссылки