Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1606267-2)
SAP Support Packages
(712, SAPKU50020, SAPKU52011, SAPKU60011, SAPKU70011, SAPKU70107, SAPKU70201)
Описание
ERMS Web Form Connector выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
После реализации инструкций по исправлению ошибок данные форм вашего приложения не будут напрямую передаваться в ERMS. Сначала страница с введенными данными будет отображаться пользователю для подтверждения. И только после подтверждения введенные данные будут отправляться в ERMS.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 702 без пакетов поддержки |
------------------------------------------------------------------------
1. Включите защиту от межсайтовой подмены запросов для CRM_ERMS_WF_CON приложения BSP.
a) Откройте CRM_ERMS_WF_CON приложения BSP в режиме правки.
b) Отметьте флажком 'XSRF Protection' ("Защита от межсайтовой подмены запросов").
c) Запустите приложение BSP.
2. Создайте и активируйте BAdI (в реализации "по умолчанию") для BAdI CRM_ERMS_WF_CON.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 702 без пакетов поддержки |
------------------------------------------------------------------------
1. Включите защиту от межсайтовой подмены запросов для CRM_ERMS_SAMPLE приложения BSP.
a) Откройте CRM_ERMS_SAMPLE приложения BSP в режиме правки.
b) Отметьте флажком 'XSRF Protection' ("Защита от межсайтовой подмены запросов").
c) Запустите приложение BSP.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50019 |
| Версия 520 до SAPKU52010 |
| Версия 700 SAPKU70001 - SAPKU70010 |
| Версия 600 SAPKU60001 - SAPKU60010 |
| Версия 701 SAPKU70103 - SAPKU70106 |
------------------------------------------------------------------------
После реализации бюллетеня необходимо вручную выполнить следующее:
1) Для перехода к новому потоку необходимо создать BAdI (в реализации "по умолчанию") для BAdI CRM_ERMS_WF_CON.
2) Выполните отчет BSP_XSRF_PARAM_CRM_IC_EMS и задайте, когда это потребуется, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений, а также отметит стартовые страницы, установленные данным бюллетенем.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 702 без пакетов поддержки |
------------------------------------------------------------------------
1. Включите защиту от межсайтовой подмены запросов для CRM_ERMS_WF_CON приложения BSP.
a) Откройте CRM_ERMS_WF_CON приложения BSP в режиме правки.
b) Отметьте флажком 'XSRF Protection' ("Защита от межсайтовой подмены запросов").
c) Запустите приложение BSP.
2. Создайте и активируйте BAdI (в реализации "по умолчанию") для BAdI CRM_ERMS_WF_CON.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 702 без пакетов поддержки |
------------------------------------------------------------------------
1. Включите защиту от межсайтовой подмены запросов для CRM_ERMS_SAMPLE приложения BSP.
a) Откройте CRM_ERMS_SAMPLE приложения BSP в режиме правки.
b) Отметьте флажком 'XSRF Protection' ("Защита от межсайтовой подмены запросов").
c) Запустите приложение BSP.
------------------------------------------------------------------------
|Выполняется вручную после реализации. |
------------------------------------------------------------------------
|Действительно для |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 500 до SAPKU50019 |
| Версия 520 до SAPKU52010 |
| Версия 700 SAPKU70001 - SAPKU70010 |
| Версия 600 SAPKU60001 - SAPKU60010 |
| Версия 701 SAPKU70103 - SAPKU70106 |
------------------------------------------------------------------------
После реализации бюллетеня необходимо вручную выполнить следующее:
1) Для перехода к новому потоку необходимо создать BAdI (в реализации "по умолчанию") для BAdI CRM_ERMS_WF_CON.
2) Выполните отчет BSP_XSRF_PARAM_CRM_IC_EMS и задайте, когда это потребуется, соответствующий номер транспортного запроса. Отчет задействует защиту от межсайтовой подмены запросов для BSP-приложений, а также отметит стартовые страницы, установленные данным бюллетенем.
Ссылки