SAP J2EE Web Services Navigator interface cross-site scripting sérülékenység

2010. július 21. 18:20

CH azonosító

CH-3368

Felfedezés dátuma

2010.07.20.

Súlyosság

Alacsony

Érintett rendszerek

Enterprise Portal
NetWeaver
SAP
Web Application Server

Érintett verziók

SAP Enterprise Portal 6.x
SAP NetWeaver 4.x (2004)
SAP NetWeaver 7.x (2004s)
SAP Web Application Server 6.x
SAP Web Application Server 7.x

Összefoglaló

Az SAP J2EE motor olyan sérülékenysége vált ismertté, amelyet támadók kihasználhatnak XSS (cross-site scripting) támadások kezdeményezésére.

Leírás

Nem meghatározott paramétereken keresztül a J2EE Web Services Navigator Interface-nek átadott adatbevitel nem kerül megfelelően ellenőrzésre a felhasználó részére történő visszaküldés előtt.
Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználó böngésző munkamenetében.

A sérülékenységet a következő verziók tartalmazzák:

SAP_JTECHS 6.40
SAP_JTECHS 7.00

Megoldás

A javítások rendelkezésre állnak az SAP 1169248-as értesítőben.
(Kérem tekintse meg az SAP 1372831-es jegyzetet is)

Legfrissebb sérülékenységek

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység

CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység

Tovább a sérülékenységekhez »

SAP J2EE Web Services Navigator interface cross-site scripting sérülékenység