SAP NetWeaver cross-site scripting sérülékenységek

CH azonosító

CH-4725

Angol cím

SAP NetWeaver Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2011.04.13.

Súlyosság

Alacsony

Érintett rendszerek

NetWeaver
SAP

Érintett verziók

SAP NetWeaver 7.x

Összefoglaló

Az SAP NetWeaver olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting támadások indítására.

Leírás

  1. A MessagingSystem/monitor/monitor.jsp-ben a “sort”, “numPerPage”, “page”, “lastPage”, “numPerpageb”, “pageb” és “direction” paramétereknek átadott bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  2. A pst_enter.jsp-ben a “proxyhost”, “proxyport”, “storagesystem”, “storeid”, “unixroot” és “winroot” paramétereknek átadott bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.

Megoldás

Telepítse a javítócsomagokat

Hivatkozások

Gyártói referencia: service.sap.com
Gyártói referencia: service.sap.com
Egyéb referencia: dsecrg.com
Egyéb referencia: dsecrg.com
SECUNIA 44187