SAP NetWeaver sérülékenységek


2013. február 27. 07:12

CH azonosító

CH-8569

Angol cím

SAP NetWeaver Multiple Vulnerabilities

Felfedezés dátuma

2013.02.25.

Súlyosság

Közepes

Érintett rendszerek

NetWeaver
SAP

Érintett verziók

SAP NetWeaver 7.x

Összefoglaló

A SAP NetWeaver olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A SAP Portal Federation egy hibája miatt a konfigurációs oldalak hozzáférése során nem megfelelően történik meg a hitelesítés, ami kihasználható a teljes Portal infrastruktúra megszerzésére.
  2. A SAP Software Deployment Manager komponens hitelesítési kérések kezelése során fellépő hibája kihasználható a szolgáltatás használhatatlanná tételéhez.
  3. Bizonyos meghatározatlan bemenet nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.
  4. A J2EE központi szolgáltatások egy nem részletezett hibája kihasználható tetszőleges fájlok olvasására vagy írására. Bővebb információ jelenleg nem áll rendelkezésre.
  5. A CCMS agent egy nem részletezett hibája kihasználható tetszőleges parancsok végrehajtására SIDADM jogosultságokkal.
  6. Az SMD agent egy nem részletezett hibája kihasználható tetszőleges alkalmazások telepítéséhez és futtatásához.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Authentication Issues (Hitelesítés)
Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
SECUNIA 52385

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »