Összefoglaló
Az SAP NetWeaver egy olyan sérülékenységét jelentették, melyet kihasználva a támadók SQL-befecskendezéses támadást hajthatnak végre.
Leírás
Az “RSDDCVER_COUNT_TAB_COLS” funkcióhoz tartozó bizonyos bemenetek az SQL lekérdezés lefutása előtt nincsenek megfelelően ellenőrizve, így a támadók tetszőleges SQL kódot futtathatnak.
A sérülékenység a 7.30 (Basis 720 SP 0, Kernel 720 patch 68) verziót érinti, de más kiadásokban is előfordulhat.
Megoldás
Hagyja jóvá a SAP Note 1836718-t.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 56061
Egyéb referencia: erpscan.com