• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1599565 - Уязвимость HTTP Verb Tampering в LSOCP (Content Player)

Главная Специалистам База уязвимостей Note 1599565 - Уязвимость HTTP Verb Tampering в LSOCP (Content Player)

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1599565-3)
Описание
LSOCP содержит уязвимости HTTP Verb Tampering. Таким образом, если злоумышленник получает доступ к приложению, используя HTTP-запросы, содержащие нестандартные HTTP-методы, то существует возможность разглашения или искажения информации.

Необходимые условия:
1. Никогда не назначайте пользователям "SAP_ungranted_role".
2. Убедитесь, что реализован бюллетень 1445998, который отключает InvokerServlet (не требуется для SAP NetWeaver 7.20 SP03 и выше). Хотя уязвимости HTTP Verb Tampering и InvokerServlet не являются причиной или следствием друг друга, рекомендуется устранить обе этих проблемы.
Как исправить
Необходимо воспользоваться последними пакетами поддержки, указанными ниже (или их более поздними версиями).

LSOCP 604 -> SP10
LSOCP 602 -> SP10
LSOCP 600 -> SP20
Ссылки