• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1600585 - Несанкционированное использование функций приложений в PA-EC

Главная Специалистам База уязвимостей Note 1600585 - Несанкционированное использование функций приложений в PA-EC

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1600585-3) SAP Support Packages (SAPK-200A3INEAHRGXX, SAPK-50088INEAHRGXX, SAPK-60071INEAHRGXX, SAPK-60250INEAHRGXX, SAPK-60345INEAHRGXX, SAPK-60437INEAHRGXX, SAPK-60514INEAHRGXX)
Описание
PA-EC выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию. Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Импортируйте соответствующий пакет поддержки.




------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО EA-HRGXX EA-HR General F...|
| Версия 200 до SAPK-200A2INEAHRGXX |
| Версия 500 до SAPK-50087INEAHRGXX |
| Версия 600 до SAPK-60070INEAHRGXX |
| Версия 602 до SAPK-60249INEAHRGXX |
| Версия 603 до SAPK-60344INEAHRGXX |
| Версия 604 до SAPK-60436INEAHRGXX |
| Версия 605 до SAPK-60513INEAHRGXX |
------------------------------------------------------------------------

Перед использованием инструкций по исправлению ошибок необходимо установить флаг XSRF-Protection ("защита от межсайтовой подмены запросов") в следующих приложениях BSP:
- HRECM_JPR_START
- HRECM_BDG_START

Вы можете установить флаг, используя Web Application Builder (транзакция SE80).
Ссылки