• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1591024 - Несанкционированное использование функций приложений в BC-SRV-SSF

Главная Специалистам База уязвимостей Note 1591024 - Несанкционированное использование функций приложений в BC-SRV-SSF

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1591024-4) SAP Support Packages (SAPKB62071, SAPKB64029, SAPKB70026, SAPKB70111, SAPKB70210, SAPKB71014, SAPKB71109, SAPKB72007, SAPKB73007)
Описание
BC-SRV-SSF выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Примените исправления, используя Note Assistant, или импортируйте соответствующий пакет поддержки. Если для реализации данного бюллетеня используется Note Assistant, необходимо помнить следующее:
1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1520324.
2. Необходимо воспользоваться прилагаемыми инструкциями по исправлению ошибок. Создайте отчет BSP_XSRF_PARAM_SSF в качестве локального объекта вашей системы.
3. Выполните отчет BSP_XSRF_PARAM_SSF и укажите, когда это необходимо, соответствующий номер транспортного запроса. Отчет заполнит таблицу BSPTEMPXSRFSTORE базы данных соответствующими данными BSP-приложений.
Ссылки