• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1598381 - Несанкционированное использование функций приложений в PA-PD-PM

Главная Специалистам База уязвимостей Note 1598381 - Несанкционированное использование функций приложений в PA-PD-PM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1598381-1) SAP Support Packages (SAPK-110C6INEAHRGXX, SAPK-200A7INEAHRGXX, SAPK-50092INEAHRGXX, SAPK-60075INEAHRGXX, SAPK-60254INEAHRGXX, SAPK-60349INEAHRGXX, SAPK-60441INEAHRGXX, SAPK-60518INEAHRGXX)
Описание
PA-PD-PM выполняет некоторые функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами этого пользователя.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1520324.
2. Используйте инструкции по исправлению ошибок, представленные в данном бюллетене. В зависимости от версии, создайте соответствующий отчет как локальный объект вашей системы.
EA-HRGXX 606: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 605: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 604: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 603: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 602: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 600: ZBSP_XSRF_PARAM_HAP_PA_600
EA-HRGXX 500: ZBSP_XSRF_PARAM_HAP_PA_500
EA-HRGXX 200: ZBSP_XSRF_PARAM_HAP_PA_110
EA-HRGXX 110: ZBSP_XSRF_PARAM_HAP_PA_110
3. Выполните локальный отчет и укажите, при необходимости, соответствующий номер транспортного запроса. Отчет заполнит таблицу базы данных BSPTEMPXSRFSTORE необходимыми данными для приложений BSP.
Ссылки