• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1589707 - Несанкционированное использование функций в agency collections

Главная Специалистам База уязвимостей Note 1589707 - Несанкционированное использование функций в agency collections

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1589707-1) SAP Support Packages (616, SAPK-60021ININSURANC, SAPK-60211ININSURANC, SAPK-60310ININSURANC, SAPK-60411ININSURANC, SAPK-60507ININSURANC, SAPK-60602ININSURANC, SAPKIPIN22)
Описание
Приложение BSP для Italian agency collections выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник выполнит запросы, используя браузер вошедшего в систему пользователя, то он может вызвать функции с правами этого пользователя.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю, например, по электронной почте.
Как исправить
Примените прилагаемые программные исправления. Для версий ниже INSURANCE 6.05 воспользуйтесь приведенными в бюллетене инструкциями.

Описанное решение не устранит ошибку, если вы пользуетесь BSP версии DESIGN2002. При помощи параметра ITAGCY_DESIGN можно настроить версию (design) для Italian agency collections отдельно для каждого пользователя. Также можно воспользоваться BSP-приложением ITAGCY_USERDATA, в котором пользователи могут изменять версию (design) вручную.

См. также бюллетень 1509885, касающийся BSP версии DESIGN2008.
Ссылки