SAP NetWeaver többszörös sérülékenység

CH azonosító

CH-5079

Angol cím

SAP NetWeaver Multiple Vulnerabilities

Felfedezés dátuma

2011.06.20.

Súlyosság

Alacsony

Érintett rendszerek

NetWeaver
SAP

Érintett verziók

SAP NetWeaver 7.x

Összefoglaló

Az SAP NetWeaver olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók cross-site scripting támadásokat hajthatnak végre, érzékeny információkat szerezhetnek meg és megkerülhetnek bizonyos védelmi korlátozásokat.

Leírás

  1. Az SLD (System Landscape Directory) egy ismeretlen hibája kihasználható verzióinformációk kinyerésére a /REP és /RWB könyvtárakból.
  2. A “test” paraméterrel a testServlet servletnek átadott bemenet a performanceProviderRoot alkalmazásban nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében egy érintett oldallal kapcsolatosan.
  3. A “BSNAME” és “REQID” paraméterekkel a Deployer servletnek átadott bemenet a Trust Center Service-ben nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében egy érintett oldallal kapcsolatosan.
  4. Egy hiba a J2EE Engine azonosítási folyamatában kihasználható az azonosítási folyamat megkerülésére és többek között szolgáltatás megtagadás előidézésére.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-47812 – Wing FTP Server Improper Neutralization of Null Byte or NUL Character sérülékenysége
CVE-2025-49719 – Microsoft SQL Server Information Disclosure sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
Tovább a sérülékenységekhez »