• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1611180 - Несанкционированное использование функций приложений в AIE-AII-UI

Главная Специалистам База уязвимостей Note 1611180 - Несанкционированное использование функций приложений в AIE-AII-UI

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1611180-2) SAP Support Packages (SAPK-71007INAIN)
Описание
AutoID ITSmobile UI выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетенях 1481392 и 1571684. Исправления из бюллетеня 1481392 необходимы для реализации данного бюллетеня.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет ITS_XSRF_PARAM_AIE.
3. Выполните отчет ITS_XSRF_PARAM_AIE и укажите, при необходимости, соответствующий номер транспортного запроса. Отчет добавит служебные параметры для адаптированных ITS-служб (которые обслуживаются при помощи кнопки настройки GUI для служб в рамках транзакции SICF).

Если используются индивидуальные шаблоны, то необходимо создать их снова после выполнения шага №3.
Для этого можно использовать отчет SIAC_REGENERATE_TEMPLATE.
После создания индивидуальных шаблонов, связанных со службой AIN_MOBILE, убедитесь, что строки с данными шаблонами выбраны при выполнении отчета. Стандартные шаблоны генерировать повторно не нужно.
Ссылки