Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1590555-1)
SAP Support Packages
(SAPK-52013INCRMUIF, SAPK-60014INCRMUIF, SAPK-70011INWEBCUIF, SAPK-70107INWEBCUIF, SAPK-73003INWEBCUIF)
Описание
WEBCUIF выполняет некоторые функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию. Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Дополнительную информацию и инструкции см. в бюллетене 1520324. Исправления из бюллетеня 1520324 необходимы для реализации данного бюллетеня.
Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В зависимости от версии в системе будут созданы следующие отчеты.
WEBCUIF 701: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_BSP_DLC_TBUI, BSP_XSRF_PARAM_CRM_BSP_MOBILE, BSP_XSRF_PARAM_CRM_M_TEST, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_CRM_UI_START, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES, BSP_XSRF_PARAM_WCF_BSP_SP, BSP_XSRF_PARAM_WCF_CANVAS_TEST, BSP_XSRF_PARAM_WCF_FCT, BSP_XSRF_PARAM_WCF_LIST_OVW, BSP_XSRF_PARAM_WCF_ROLE_TRACE
WEBCUIF 700: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_BSP_DLC_TBUI, BSP_XSRF_PARAM_CRM_BSP_MOBILE, BSP_XSRF_PARAM_CRM_M_TEST, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_CRM_UI_START, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES
CRMUIF 600 и CRMUIF 520: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES
Выполните отчеты и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В зависимости от версии в системе будут созданы следующие отчеты.
WEBCUIF 701: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_BSP_DLC_TBUI, BSP_XSRF_PARAM_CRM_BSP_MOBILE, BSP_XSRF_PARAM_CRM_M_TEST, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_CRM_UI_START, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES, BSP_XSRF_PARAM_WCF_BSP_SP, BSP_XSRF_PARAM_WCF_CANVAS_TEST, BSP_XSRF_PARAM_WCF_FCT, BSP_XSRF_PARAM_WCF_LIST_OVW, BSP_XSRF_PARAM_WCF_ROLE_TRACE
WEBCUIF 700: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_BSP_DLC_TBUI, BSP_XSRF_PARAM_CRM_BSP_MOBILE, BSP_XSRF_PARAM_CRM_M_TEST, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_CRM_UI_START, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES
CRMUIF 600 и CRMUIF 520: BSP_XSRF_PARAM_BSP_CRM_BTFBSE, BSP_XSRF_PARAM_BSP_CRM_FLEXBSE, BSP_XSRF_PARAM_BSP_DLC_OVW, BSP_XSRF_PARAM_CRM_THTMLB_BTF, BSP_XSRF_PARAM_CRM_THTMLB_TEST, BSP_XSRF_PARAM_CRM_THTMLB_UTIL, BSP_XSRF_PARAM_THTMLB_SCRIPTS, BSP_XSRF_PARAM_THTMLB_STYLES
Выполните отчеты и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки