Множественные уязвимости в SAP NetWeaver

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и произвести XSS нападение.

1. Уязвимость существует из-за ошибки при обработке прав доступа к некоторым ресурсам. Удаленный пользователь может получить доступ к обычно запрещенным Runtime Workbench ресурсам.

2. Уязвимость существует из-за ошибки в функции PFL_CHECK_OS_FILE_EXISTENCE в реализации функционала ограничения доступа. Удаленный пользователь может узнать имена файлов на системе.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "TXVDestination" в сценарии TextContainerAdmin/administration_setup.jsp и в параметрах "ValueIndustry", "ValueRegion" и "ValueExtension" в сценарии system_context_settings.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости злоумышленник должен иметь привилегии администратора приложения.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "cc0Host", "cc0Id", "cc0Path", "cc0Port" и "cc0Protocol" в сценарии bcbadmSettings.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.sdn.sap.com/irj/sdn/nw-70

Решение: Установите исправления 1567389, 1591146, 1591749 и 1585652 с сайта производителя.