Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1600530-2)
SAP Support Packages
(SAPK-470C6INSAPHRRXX, SAPK-50092INSAPHRRXX, SAPK-60075INSAPHRRXX, SAPK-60441INSAPHRRXX)
Описание
PT-RC-UI-XS выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1520324.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. Создайте отчет ZBSP_XSRF_PARAM_ESS_LEAVEREQ как локальный объект вашей системы.
3. Выполните отчет ZBSP_XSRF_PARAM_ESS_LEAVEREQ и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет заполнит таблицу BSPTEMPXSRFSTORE базы данных соответствующими данными BSP-приложений.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. Создайте отчет ZBSP_XSRF_PARAM_ESS_LEAVEREQ как локальный объект вашей системы.
3. Выполните отчет ZBSP_XSRF_PARAM_ESS_LEAVEREQ и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет заполнит таблицу BSPTEMPXSRFSTORE базы данных соответствующими данными BSP-приложений.
Ссылки