Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1588406-3)
SAP Support Packages
(SAPKU50019, SAPKU52011, SAPKU60010, SAPKU70010, SAPKU70105)
Описание
Приложение Interaction Center, предназначенное для коммунальной сферы и телекоммуникационной промышленности, выполняет функции при вызове определенных URL-адресов. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Для решения данной проблемы необходимо вручную выполнить следующие действия.
------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50018 |
| Версия 520 до SAPKU52010 |
| Версия 700 до SAPKU70009 |
| Версия 600 до SAPKU60009 |
| Версия 701 до SAPKU70104 |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение CRM_IUMD_ICREP.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
5) Повторите шаги 3 и 4 для следующих BSP-приложений:
CRM_IUBCO_IC
CRM_IUENV_IC
CRM_IUFCS_IC
CRM_IUMD_IC
CRM_IUMIO_IC
CRM_IUMR_IC
CRM_IU_IC_APPL
CRM_IU_IC_ERMS
CRM_IU_IC_RTREP
CRM_IUAPPL_IC
CRM_IUBCO_ICREP
CRM_IUERM_ICREP
CRM_IUMIO_ICREP
CRM_IUMR_ICREP
CRM_IUOVW_IC
CRM_IUPP_ICREP
CRM_IUSI_IC
CRM_ITIC_ADJREP
Если одно из BSP-приложений не доступно (пока) в вашей версии, пропустите данное приложение.
------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50018 |
| Версия 520 до SAPKU52010 |
| Версия 700 до SAPKU70009 |
| Версия 600 до SAPKU60009 |
| Версия 701 до SAPKU70104 |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение CRM_IUMD_ICREP.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
5) Повторите шаги 3 и 4 для следующих BSP-приложений:
CRM_IUBCO_IC
CRM_IUENV_IC
CRM_IUFCS_IC
CRM_IUMD_IC
CRM_IUMIO_IC
CRM_IUMR_IC
CRM_IU_IC_APPL
CRM_IU_IC_ERMS
CRM_IU_IC_RTREP
CRM_IUAPPL_IC
CRM_IUBCO_ICREP
CRM_IUERM_ICREP
CRM_IUMIO_ICREP
CRM_IUMR_ICREP
CRM_IUOVW_IC
CRM_IUPP_ICREP
CRM_IUSI_IC
CRM_ITIC_ADJREP
Если одно из BSP-приложений не доступно (пока) в вашей версии, пропустите данное приложение.
Ссылки