• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1596226 - Несанкционированное использование функций приложения в CA-GTF-IC-SCR

Главная Специалистам База уязвимостей Note 1596226 - Несанкционированное использование функций приложения в CA-GTF-IC-SCR

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1596226-3) SAP Support Packages (746, SAPK-52013INCRMUIF, SAPK-60014INCRMUIF, SAPK-70011INWEBCUIF, SAPK-70107INWEBCUIF, SAPK-73003INWEBCUIF, SAPK-73101INWEBCUIF, SAPK-73102INWEBCUIF, SAPKA70026)
Описание
CA-GTF-IC-SCR выполняет функции, обращаясь по особым URL-адресам.  Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и рекомендации см. в бюллетенях 1520324 и 1551982. Исправления из бюллетеней 1520324 и 1551982 необходимы для реализации данного бюллетеня.

2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В результате, в вашей системе будет создан отчет BSP_XSRF_PARAM_CRM_IC_ISE.

3. Выполните отчет BSP_XSRF_PARAM_CRM_IC_ISE и укажите, при необходимости, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений.
Ссылки