• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1588241 - Несанкционированное использование функций приложений в CA-GTF-RCM

Главная Специалистам База уязвимостей Note 1588241 - Несанкционированное использование функций приложений в CA-GTF-RCM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1588241-2) SAP Support Packages (SAPKA64029, SAPKA70026, SAPKA70111, SAPKA70210, SAPKA71014, SAPKA71109, SAPKA72007, SAPKA73005, SAPKA73102)
Описание
Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя. Злоумышленник может использовать межсайтовое выполнение сценариев для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Как исправить
Для BSP-приложения без сохранения состояния: RMPSPB_CASE RMPSPB_CASENOTE 1. Дополнительную информацию и инструкции см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня. 2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, будет создан отчет BSP_XSRF_PARAM_CA_GTF_RCM. 3. Выполните отчет BSP_XSRF_PARAM_CA_GTF_RCM и укажите, когда необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений. Для BSP-приложения с сохранением состояния: SRMPS_Browser SRMPS_FAVORITES SRMPS_HISTORY SRMPS_METADATA SRMPS_SEARCH 1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Исправления из бюллетеня 1520324 необходимы для реализации данного бюллетеня. 2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, будет создан отчет BSP_XSRF_PARAM_CA_GTF_RCM 3. Выполните отчет BSP_XSRF_PARAM_CA_GTF_RCM и укажите, когда необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки