Érintett rendszerek
Enterprise PortalNetWeaver
SAP
Web Application Server
Érintett verziók
SAP Enterprise Portal 6.x
SAP NetWeaver 4.x (2004)
SAP NetWeaver 7.x (2004s)
SAP Web Application Server 6.x
SAP Web Application Server 7.x
Összefoglaló
Az SAP J2EE motor olyan sérülékenysége vált ismertté, amelyet támadók kihasználhatnak XSS (cross-site scripting) támadások kezdeményezésére.
Leírás
Nem meghatározott paramétereken keresztül a J2EE Web Services Navigator Interface-nek átadott adatbevitel nem kerül megfelelően ellenőrzésre a felhasználó részére történő visszaküldés előtt.
Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználó böngésző munkamenetében.
A sérülékenységet a következő verziók tartalmazzák:
- SAP_JTECHS 6.40
- SAP_JTECHS 7.00
Megoldás
A javítások rendelkezésre állnak az SAP 1169248-as értesítőben.
(Kérem tekintse meg az SAP 1372831-es jegyzetet is)
Támadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: service.sap.com
SECUNIA 40659
Egyéb referencia: archives.neohapsis.com