• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1588925 - Несанкционированное использование функций приложений FCC

Главная Специалистам База уязвимостей Note 1588925 - Несанкционированное использование функций приложений FCC

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1588925-1) SAP Support Packages (SAPK-60020INFICA, SAPK-60210INFICA, SAPK-60309INFICA, SAPK-60410INFICA, SAPK-60505INFICA, SAPKIPC821, SAPKU50019, SAPKU52011, SAPKU60010, SAPKU70010, SAPKU70105)
Описание
Приложение Interaction Center для сценария FCC выполняет функции при вызове определенных URL-адресов. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Для решения данной проблемы необходимо вручную выполнить следующие действия.



------------------------------------------------------------------------
||Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО FI-CA FI Contract Acc...|
| Версия 472 до SAPKIPC820 |
| Версия 600 до SAPK-60019INFICA |
| Версия 602 до SAPK-60209INFICA |
| Версия 604 до SAPK-60409INFICA |
| Версия 603 до SAPK-60308INFICA |
| Версия 605 до SAPK-60504INFICA |
------------------------------------------------------------------------

1) Вызовите транзакцию SE80 в ERP-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.

2) В соответствующем поле введите значение FKK_CRM_IC_F4.

3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).

4) Сохраните изменения и запустите приложение.



------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50018 |
| Версия 520 до SAPKU52010 |
| Версия 700 до SAPKU70009 |
| Версия 600 до SAPKU60009 |
| Версия 701 до SAPKU70104 |
------------------------------------------------------------------------

1) Вызовите транзакцию SE80 в CRM-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.

2) В соответствующем поле введите значение CRM_IC_FSCD.

3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).

4) Сохраните изменения и запустите приложение.

5) Повторите шаги 3 и 4 для следующих BSP-приложений: CRM_IC_FICA_COH, CRM_IC_FICA_DIS, CRM_IC_FICA_FCS и CRM_IC_FICA_LCK.

Если одно из BSP-приложений не доступно (пока) в вашей версии, пропустите данное приложение.
Ссылки