Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1589707-1)
SAP Support Packages
(616, SAPK-60021ININSURANC, SAPK-60211ININSURANC, SAPK-60310ININSURANC, SAPK-60411ININSURANC, SAPK-60507ININSURANC, SAPK-60602ININSURANC, SAPKIPIN22)
Описание
Приложение BSP для Italian agency collections выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник выполнит запросы, используя браузер вошедшего в систему пользователя, то он может вызвать функции с правами этого пользователя.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю, например, по электронной почте.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю, например, по электронной почте.
Как исправить
Примените прилагаемые программные исправления. Для версий ниже INSURANCE 6.05 воспользуйтесь приведенными в бюллетене инструкциями.
Описанное решение не устранит ошибку, если вы пользуетесь BSP версии DESIGN2002. При помощи параметра ITAGCY_DESIGN можно настроить версию (design) для Italian agency collections отдельно для каждого пользователя. Также можно воспользоваться BSP-приложением ITAGCY_USERDATA, в котором пользователи могут изменять версию (design) вручную.
См. также бюллетень 1509885, касающийся BSP версии DESIGN2008.
Описанное решение не устранит ошибку, если вы пользуетесь BSP версии DESIGN2002. При помощи параметра ITAGCY_DESIGN можно настроить версию (design) для Italian agency collections отдельно для каждого пользователя. Также можно воспользоваться BSP-приложением ITAGCY_USERDATA, в котором пользователи могут изменять версию (design) вручную.
См. также бюллетень 1509885, касающийся BSP версии DESIGN2008.
Ссылки