Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1597549-1)
Описание
Страницы в FSCM_BD некорректно кодируют параметры вывода (output), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
В FSCM_BD имеются дополнительные улучшения:
1) Улучшение старых и создание новых интерфейсов API, позволяющих использовать стандартный интерфейс SAP Netweaver API для кодировки недопустимых символов. Интерфейсы прикладного программирования (API):
- Converter.encodeSpecialCharacters
- Converter.encodeSpecialCharactersAV
- Converter.encodeSpecialCharactersURL
2) Защита выходных параметров при помощи новых API. Выполняется для java-классов и JSP-файлов, в соответствии с технической реализацией выходного параметра.
После установки следующих пакетов поддержки для каждой из версий FSCM_BD, будут реализованы все выше указанные улучшения:
- FSCM_BD 3.0 SP20
- FSCM_BD 6.0 SP20
- FSCM_BD 6.02 SP10
- FSCM_BD 6.04 SP10
- FSCM_BD 6.05 SP05
Если после применения выше указанных пакетов поддержки вы захотите сохранить ваш старый JSP-контент (например, заменить стандартный JSP-контент, поставляемый с пакетами, на ваш собственный), то необходимо вручную внести изменения в ваши JSP-файлы, чтобы обеспечить корректную кодировку выходных параметров при помощи интерфейсов Biller Direct API. В прилагаемом excel-файле "JSP_Changes.xlsx" имеется краткое описание JSP-файлов, для которых необходимо обеспечить защиту вручную для каждой версии.
1) Улучшение старых и создание новых интерфейсов API, позволяющих использовать стандартный интерфейс SAP Netweaver API для кодировки недопустимых символов. Интерфейсы прикладного программирования (API):
- Converter.encodeSpecialCharacters
- Converter.encodeSpecialCharactersAV
- Converter.encodeSpecialCharactersURL
2) Защита выходных параметров при помощи новых API. Выполняется для java-классов и JSP-файлов, в соответствии с технической реализацией выходного параметра.
После установки следующих пакетов поддержки для каждой из версий FSCM_BD, будут реализованы все выше указанные улучшения:
- FSCM_BD 3.0 SP20
- FSCM_BD 6.0 SP20
- FSCM_BD 6.02 SP10
- FSCM_BD 6.04 SP10
- FSCM_BD 6.05 SP05
Если после применения выше указанных пакетов поддержки вы захотите сохранить ваш старый JSP-контент (например, заменить стандартный JSP-контент, поставляемый с пакетами, на ваш собственный), то необходимо вручную внести изменения в ваши JSP-файлы, чтобы обеспечить корректную кодировку выходных параметров при помощи интерфейсов Biller Direct API. В прилагаемом excel-файле "JSP_Changes.xlsx" имеется краткое описание JSP-файлов, для которых необходимо обеспечить защиту вручную для каждой версии.
Ссылки