• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1589611 - SEC-207_3 XSRF адаптация для NW BSP приложений без сохранения состояния (IMS)

Главная Специалистам База уязвимостей Note 1589611 - SEC-207_3 XSRF адаптация для NW BSP приложений без сохранения состояния (IMS)

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1589611-1) SAP Support Packages (SAPKB62071, SAPKB64029, SAPKB70026, SAPKB70111, SAPKB70210, SAPKB71014, SAPKB71109, SAPKB72007, SAPKB73005, SAPKB73102)
Описание
IBC-SRV-KPR выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Злоумышленник может использовать межсайтовое выполнение сценариев для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Как исправить
1. Дополнительную информацию и рекомендации см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_BC_SRV_KPR.
3. Выполните отчет BSP_XSRF_PARAM_BC_SRV_KPR и укажите, при необходимости, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки