Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1609287-4)
SAP Support Packages
(SAPKA62071, SAPKA64029, SAPKA70026, SAPKA70111, SAPKA70210, SAPKA70211, SAPKA71014, SAPKA71109, SAPKA73005, SAPKA73007, SAPKA73101, SAPKA73102)
Описание
Страницы BSP в Websurvey некорректно кодируют параметры INPUT (ввода) и OUTPUT (вывода), что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Отраженное межсайтовое выполнение сценариев позволяет получить данные, например, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Отраженное межсайтовое выполнение сценариев позволяет получить данные, например, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
1. Перед реализацией данного бюллетеня необходимо внести исправления из бюллетеней 1582870 и 1468513.
2. Реализуйте прилагаемые инструкции по исправлению ошибок, соответствующие вашей версии продукта.
2. Реализуйте прилагаемые инструкции по исправлению ошибок, соответствующие вашей версии продукта.
Ссылки