SAP Products Cfolders Engine XSS és Script befecskendezéses sérülékenység

CH azonosító

CH-2137

Felfedezés dátuma

2009.04.22.

Súlyosság

Alacsony

Érintett rendszerek

ERP Central Component (ECC)
NetWeaver
Product Lifecycle Management
SAP
SAP Knowledge Management
Supplier Relationship Management (SRM)

Érintett verziók

SAP Product Lifecycle Management 7.x
SAP NetWeaver 4.x
SAP SAP Knowledge Management
SAP ERP Central Component (ECC) 6.x
SAP Supplier Relationship Management (SRM) 7.x

Összefoglaló

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

Leírás

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

  1. A “p_current_role” paraméterhez tartozó érték a col_table_filter.htm és a me_ov.htm oldalakon nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A “LINK” mezőhöz tartozó érték link készítésekor és a fájlnév érték dokumentum feltöltésekor nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beillesztésére, amit a felhasználó böngészője végrehajt az érintett oldal vonatkozásában, a rosszindulatú adat megtekintésekor.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
Tovább a sérülékenységekhez »