• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1589674 - Несанкционированное использование функций приложений в CA-GTF-PCF

Главная Специалистам База уязвимостей Note 1589674 - Несанкционированное использование функций приложений в CA-GTF-PCF

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1589674-3) SAP Support Packages (SAPKA70026, SAPKA70111, SAPKA70210, SAPKA71014, SAPKA71109, SAPKA73005, SAPKA73101, SAPKU40018)
Описание
CA-GTF-PCF выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Для приложений BSP без сохранения состояния:

CRM_BSP_FACE, CRM_ML_PREVIEW, CRM_PREVIEW, CRM_BSP_FRAME, crm_xml_test, crm_bsp_bab_fra, CRM_BSP_BAB_PAN, CRM_BSP_XBAB_FR, CRM_BSP_XBAB_PA, CRM_BSP_F1_HELP, CRM_BSP_F4_HELP, CRM_BSP_LISTPER, crm_bsp_bab_dis, CRM_BSP_BAB_DSS, CRM_PRT_URL_DIS, CRM_BSP_LST_PRT

1. Дополнительную информацию и рекомендации см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.

2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_CA_GTF_PCF.

3. Выполните отчет BSP_XSRF_PARAM_CA_GTF_PCF и укажите, когда необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки