SAP Products Cfolders Engine XSS és Script befecskendezéses sérülékenység

CH azonosító

CH-2137

Felfedezés dátuma

2009.04.22.

Súlyosság

Alacsony

Érintett rendszerek

ERP Central Component (ECC)
NetWeaver
Product Lifecycle Management
SAP
SAP Knowledge Management
Supplier Relationship Management (SRM)

Érintett verziók

SAP Product Lifecycle Management 7.x
SAP NetWeaver 4.x
SAP SAP Knowledge Management
SAP ERP Central Component (ECC) 6.x
SAP Supplier Relationship Management (SRM) 7.x

Összefoglaló

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

Leírás

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

  1. A “p_current_role” paraméterhez tartozó érték a col_table_filter.htm és a me_ov.htm oldalakon nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A “LINK” mezőhöz tartozó érték link készítésekor és a fájlnév érték dokumentum feltöltésekor nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beillesztésére, amit a felhasználó böngészője végrehajt az érintett oldal vonatkozásában, a rosszindulatú adat megtekintésekor.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
Tovább a sérülékenységekhez »