Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1614991-3)
Описание
Страницы в IS-R-FW некорректно кодируют параметры INPUT (ввода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя.
Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Данная уязвимость существует в сборках до v3.5.0 Build 803.
Отраженное межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Атакующий, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя.
Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Данная уязвимость существует в сборках до v3.5.0 Build 803.
Как исправить
Исправлено в: v3.5.0 Build 803.
Необходимые файлы исправлений:
Страницы ASP в "web\virtual_dir"
Fraudwatch.jar
cdl.jar
CreateFraudwatchDBLogin.bat
Необходимые изменения в настройках:
Данные отсутствуют
Решение:
Выполнить обновление до сборки, содержащей исправление.
Исправленные страницы ASP содержат проверку параметров URL, позволяющую блокировать возможные атаки.
Функция автозаполнения пароля отключена программно.
Необходимые файлы исправлений:
Страницы ASP в "web\virtual_dir"
Fraudwatch.jar
cdl.jar
CreateFraudwatchDBLogin.bat
Необходимые изменения в настройках:
Данные отсутствуют
Решение:
Выполнить обновление до сборки, содержащей исправление.
Исправленные страницы ASP содержат проверку параметров URL, позволяющую блокировать возможные атаки.
Функция автозаполнения пароля отключена программно.
Ссылки