Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/AU:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
SAP Notes
(1589525-9)
SAP Support Packages
(LIFECYCLE_MGMT_TOOLS_640_SP026_000002, LIFECYCLE_MGMT_TOOLS_640_SP027_000002, LIFECYCLE_MGMT_TOOLS_640_SP028_000001, LIFECYCLE_MGMT_TOOLS_640_SP029_000000, LIFECYCLE_MGMT_TOOLS_640_SP999999_999999, LIFECYCLE_MGMT_TOOLS_700_SP021_000004, LIFECYCLE_MGMT_TOOLS_700_SP022_000004, LIFECYCLE_MGMT_TOOLS_700_SP023_000002, LIFECYCLE_MGMT_TOOLS_700_SP024_000002, LIFECYCLE_MGMT_TOOLS_700_SP025_000002, LIFECYCLE_MGMT_TOOLS_700_SP026_000000, LIFECYCLE_MGMT_TOOLS_700_SP999999_999999, LIFECYCLE_MGMT_TOOLS_701_SP006_000012, LIFECYCLE_MGMT_TOOLS_701_SP007_000012, LIFECYCLE_MGMT_TOOLS_701_SP008_000007, LIFECYCLE_MGMT_TOOLS_701_SP009_000004, LIFECYCLE_MGMT_TOOLS_701_SP010_000000, LIFECYCLE_MGMT_TOOLS_701_SP011_000000, LIFECYCLE_MGMT_TOOLS_701_SP999999_999999, LIFECYCLE_MGMT_TOOLS_702_SP003_000008, LIFECYCLE_MGMT_TOOLS_702_SP004_000007, LIFECYCLE_MGMT_TOOLS_702_SP005_000006, LIFECYCLE_MGMT_TOOLS_702_SP006_000009, LIFECYCLE_MGMT_TOOLS_702_SP007_000005, LIFECYCLE_MGMT_TOOLS_702_SP008_000004, LIFECYCLE_MGMT_TOOLS_702_SP009_000001, LIFECYCLE_MGMT_TOOLS_702_SP010_000000, LIFECYCLE_MGMT_TOOLS_702_SP999999_999999, LM_CONFIGURATION_WIZARD_710_SP010_000002, LM_CONFIGURATION_WIZARD_710_SP011_000003, LM_CONFIGURATION_WIZARD_710_SP012_000002, LM_CONFIGURATION_WIZARD_710_SP013_000000, LM_CONFIGURATION_WIZARD_710_SP014_000000, LM_CONFIGURATION_WIZARD_710_SP999999_999999, LM_CONFIGURATION_WIZARD_711_SP004_000007, LM_CONFIGURATION_WIZARD_711_SP005_000003, LM_CONFIGURATION_WIZARD_711_SP006_000002, LM_CONFIGURATION_WIZARD_711_SP007_000002, LM_CONFIGURATION_WIZARD_711_SP008_000000, LM_CONFIGURATION_WIZARD_711_SP009_000000, LM_CONFIGURATION_WIZARD_711_SP999999_999999, LM_CONFIGURATION_WIZARD_720_SP002_000002, LM_CONFIGURATION_WIZARD_720_SP003_000009, LM_CONFIGURATION_WIZARD_720_SP004_000005, LM_CONFIGURATION_WIZARD_720_SP005_000002, LM_CONFIGURATION_WIZARD_720_SP006_000000, LM_CONFIGURATION_WIZARD_720_SP007_000000, LM_CONFIGURATION_WIZARD_720_SP999999_999999, LM_CONFIGURATION_WIZARD_730_SP001_000007, LM_CONFIGURATION_WIZARD_730_SP002_000007, LM_CONFIGURATION_WIZARD_730_SP003_000003, LM_CONFIGURATION_WIZARD_730_SP004_000000, LM_CONFIGURATION_WIZARD_730_SP005_000000, LM_CONFIGURATION_WIZARD_730_SP999999_999999, LM_CONFIGURATION_WIZARD_731_SP002_000000, LM_CONFIGURATION_WIZARD_731_SP999999_999999)
Описание
В приложении CTC/Configuration Wizard (также известном под названием Template Installer ("Установщик шаблонов")) существует уязвимость "Verb Tampering". Таким образом, существует вероятность разглашения информации, если доступ к приложению осуществляется при помощи HTTP-запросов, содержащих нестандартные HTTP-методы. Уязвимость "Verb Tampering" может эксплуатироваться из произвольной зоны сети. Атаку "Verb Tampering" невозможно провести без использования специальных инструментов и понимания принципов работы HTML и/или HTTP. Злоумышленник не может получить доступ к удаленной целевой системе, но может получить доступ к информации, находящейся на локальном сервере AS Java, на котором запущен Configuration Wizard ("Мастер настройки"). Это может быть использовано для проведения непрямой атаки на целевую систему.
Как исправить
Ссылки