Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1588925-1)
SAP Support Packages
(SAPK-60020INFICA, SAPK-60210INFICA, SAPK-60309INFICA, SAPK-60410INFICA, SAPK-60505INFICA, SAPKIPC821, SAPKU50019, SAPKU52011, SAPKU60010, SAPKU70010, SAPKU70105)
Описание
Приложение Interaction Center для сценария FCC выполняет функции при вызове определенных URL-адресов. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Для решения данной проблемы необходимо вручную выполнить следующие действия.
------------------------------------------------------------------------
||Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО FI-CA FI Contract Acc...|
| Версия 472 до SAPKIPC820 |
| Версия 600 до SAPK-60019INFICA |
| Версия 602 до SAPK-60209INFICA |
| Версия 604 до SAPK-60409INFICA |
| Версия 603 до SAPK-60308INFICA |
| Версия 605 до SAPK-60504INFICA |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80 в ERP-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение FKK_CRM_IC_F4.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50018 |
| Версия 520 до SAPKU52010 |
| Версия 700 до SAPKU70009 |
| Версия 600 до SAPKU60009 |
| Версия 701 до SAPKU70104 |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80 в CRM-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение CRM_IC_FSCD.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
5) Повторите шаги 3 и 4 для следующих BSP-приложений: CRM_IC_FICA_COH, CRM_IC_FICA_DIS, CRM_IC_FICA_FCS и CRM_IC_FICA_LCK.
Если одно из BSP-приложений не доступно (пока) в вашей версии, пропустите данное приложение.
------------------------------------------------------------------------
||Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО FI-CA FI Contract Acc...|
| Версия 472 до SAPKIPC820 |
| Версия 600 до SAPK-60019INFICA |
| Версия 602 до SAPK-60209INFICA |
| Версия 604 до SAPK-60409INFICA |
| Версия 603 до SAPK-60308INFICA |
| Версия 605 до SAPK-60504INFICA |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80 в ERP-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение FKK_CRM_IC_F4.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50018 |
| Версия 520 до SAPKU52010 |
| Версия 700 до SAPKU70009 |
| Версия 600 до SAPKU60009 |
| Версия 701 до SAPKU70104 |
------------------------------------------------------------------------
1) Вызовите транзакцию SE80 в CRM-системе. Выберите "Repository Browser", а затем "BSP Application" из раскрывающегося списка.
2) В соответствующем поле введите значение CRM_IC_FSCD.
3) На вкладке "Properties" ("Свойства") в BSP Application установите флажок для "XSRF protection" (защита от межсайтовой подмены запросов).
4) Сохраните изменения и запустите приложение.
5) Повторите шаги 3 и 4 для следующих BSP-приложений: CRM_IC_FICA_COH, CRM_IC_FICA_DIS, CRM_IC_FICA_FCS и CRM_IC_FICA_LCK.
Если одно из BSP-приложений не доступно (пока) в вашей версии, пропустите данное приложение.
Ссылки