Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1589674-3)
SAP Support Packages
(SAPKA70026, SAPKA70111, SAPKA70210, SAPKA71014, SAPKA71109, SAPKA73005, SAPKA73101, SAPKU40018)
Описание
CA-GTF-PCF выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Для приложений BSP без сохранения состояния:
CRM_BSP_FACE, CRM_ML_PREVIEW, CRM_PREVIEW, CRM_BSP_FRAME, crm_xml_test, crm_bsp_bab_fra, CRM_BSP_BAB_PAN, CRM_BSP_XBAB_FR, CRM_BSP_XBAB_PA, CRM_BSP_F1_HELP, CRM_BSP_F4_HELP, CRM_BSP_LISTPER, crm_bsp_bab_dis, CRM_BSP_BAB_DSS, CRM_PRT_URL_DIS, CRM_BSP_LST_PRT
1. Дополнительную информацию и рекомендации см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_CA_GTF_PCF.
3. Выполните отчет BSP_XSRF_PARAM_CA_GTF_PCF и укажите, когда необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
CRM_BSP_FACE, CRM_ML_PREVIEW, CRM_PREVIEW, CRM_BSP_FRAME, crm_xml_test, crm_bsp_bab_fra, CRM_BSP_BAB_PAN, CRM_BSP_XBAB_FR, CRM_BSP_XBAB_PA, CRM_BSP_F1_HELP, CRM_BSP_F4_HELP, CRM_BSP_LISTPER, crm_bsp_bab_dis, CRM_BSP_BAB_DSS, CRM_PRT_URL_DIS, CRM_BSP_LST_PRT
1. Дополнительную информацию и рекомендации см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_CA_GTF_PCF.
3. Выполните отчет BSP_XSRF_PARAM_CA_GTF_PCF и укажите, когда необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки