• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1597425 - Несанкционированное использование функций в приложениях IC_BASE

Главная Специалистам База уязвимостей Note 1597425 - Несанкционированное использование функций в приложениях IC_BASE

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1597425-3) SAP Support Packages (SAPKA70026)
Описание
Interaction Center выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя. Злоумышленник может использовать межсайтовую подмену запросов для запуска эксплойта, а также может отправить пользователю специально сформированную ссылку.
Как исправить
Используйте прилагаемую инструкцию по исправлению ошибок или обновите вашу систему, используя соответствующий пакет поддержки.



------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО SAP_ABA SAP Application...|
| Версия 700 SAPKA70004 - SAPKA70025 |
------------------------------------------------------------------------

Перед применением исправлений при помощи SNOTE, необходимо вручную создать дополнительный элемент данных. Выполните следующие действия:

1.) Перейдите в SE11 и введите BSP_WD_SECURITY_TOKEN.

2.) Нажмите "создать" и добавьте его в пакет CRM_BSP_WD. Введите "128Bit security token" в качестве краткого описания.

3.) Тип данных должен быть назначен заранее: CHAR с длиной 32.

4.) На закладке метки поля введите:

10 Token
15 Secure Token
20 Security Token
14 Security Token.

Сохраните и примените внесенные изменения.
Ссылки