• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1615478 - Бюллетень по безопасности: Межсайтовое выполнение сценариев в SAP GUI для HTML

Главная Специалистам База уязвимостей Note 1615478 - Бюллетень по безопасности: Межсайтовое выполнение сценариев в SAP GUI для HTML

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1615478-2) SAP Support Packages (SAPKB64029, SAPKB70026, SAPKB70111, SAPKB70210, SAPKB71014, SAPKB71108)
Описание
Страницы в SAP GUI для HTML некорректно кодируют параметры INPUT (ввода) и OUTPUT (вывода), что позволяет осуществить межсайтовое выполнение сценариев.  Межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Исправление SAP ITS patch/ пакет исправлений SAP_BASIS Support Package устраняют данную уязвимость.
SAP ITS 6.20: Раздел "SP Patch Level" содержит информацию о том, какие пакеты обновлений содержат необходимые исправления.
SAP с интегрированным ITS (исправления для ядра SAP): Раздел "SP Patch Level" содержит информацию о том, какой пакет обновлений DW.SAR содержит необходимые исправления.
SAP с интегрированным ITS (пакеты исправлений): Раздел "Support Packages" содержит информацию о том, какой пакет исправлений SAP_BASIS содержит необходимые исправления.
Для устранения ошибки необходимо установить рекомендуемое или более позднее исправление (все последующие исправления содержат в себе все предыдущие) или импортировать рекомендуемый пакет исправлений.

Если отсутствует раздел "SP Patch Level" или информация о рекомендуемом исправлении (patch)/ пакете исправлений (Support Package), то это означает, что исправление еще не выпущено. В этом случае обратитесь к данному бюллетеню позднее.
Ссылки