Множественные уязвимости в SAP NetWeaver

Дата публикации:
18.02.2014
Дата изменения:
18.02.2014
Всего просмотров:
1075
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SAP NetWeaver 7.x
Уязвимые версии: SAP NetWeaver 7.20 32-bit, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю раскрыть определенную информацию на системе, произвести XSS нападение и вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в Portal связанной с WebDyn Pro. Удаленный пользователь может раскрыть пути.

2. Уязвимость существует из-за ошибки в протоколе Server Message. Удаленный пользователь может вызвать отказ в обслуживании приложения.

3. Уязвимость существует из-за недостаточной обработки входных данных в DIR. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в ISpeakAdapter. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.sap.com

Решение: Применить SAP Notes 1442517, 1773912, 1788080 и 1852146.

Ссылки: https://service.sap.com/sap/support/notes/1442517
https://service.sap.com/sap/support/notes/1773912
https://service.sap.com/sap/support/notes/1788080
https://service.sap.com/sap/support/notes/1852146
http://erpscan.com/advisories/erpscan-14-001-sap-netweaver-message-server-dos/
http://erpscan.com/advisories/erpscan-14-002-sap-portal-webdynpro-path-disclosure/
http://erpscan.com/advisories/erpscan-14-005-sap-netweaver-dir-error-xss/
http://erpscan.com/advisories/erpscan-14-006-sap-netweaver-pip-xss/

или введите имя

CAPTCHA