• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1596147 - Несанкционированное изменение отображаемого содержимого в ABAP Help

Главная Специалистам База уязвимостей Note 1596147 - Несанкционированное изменение отображаемого содержимого в ABAP Help

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1596147-1) SAP Support Packages (SAPKB70209, SAPKB73101)
Описание
Веб-версия ABAP Keyword Documentation некорректно кодирует параметры ввода (input), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Веб-версия ABAP Keyword Documentation доступна только в том случае, если в транзакции SICF включены службы "/sap/public/bc/abap/docu" и "/sap/bc/abap/docu". Данная уязвимость существует только в SAP NetWeaver 7.02 SP8, SAP NetWeaver 7.03 SP1 и 7.31 SP1.
Необходимо применить пакет поддержки из данного бюллетеня или воспользоваться инструкцией по исправлению ошибок.
Ссылки