Érintett rendszerek
ERP Central Component (ECC)NetWeaver
Product Lifecycle Management
SAP
SAP Knowledge Management
Supplier Relationship Management (SRM)
Érintett verziók
SAP Product Lifecycle Management 7.x
SAP NetWeaver 4.x
SAP SAP Knowledge Management
SAP ERP Central Component (ECC) 6.x
SAP Supplier Relationship Management (SRM) 7.x
Összefoglaló
Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.
Leírás
Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.
- A “p_current_role” paraméterhez tartozó érték a col_table_filter.htm és a me_ov.htm oldalakon nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- A “LINK” mezőhöz tartozó érték link készítésekor és a fájlnév érték dokumentum feltöltésekor nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beillesztésére, amit a felhasználó böngészője végrehajt az érintett oldal vonatkozásában, a rosszindulatú adat megtekintésekor.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: dsecrg.com
Gyártói referencia: dsecrg.com
SECUNIA 34859