SAP Products Cfolders Engine XSS és Script befecskendezéses sérülékenység

CH azonosító

CH-2137

Felfedezés dátuma

2009.04.22.

Súlyosság

Alacsony

Érintett rendszerek

ERP Central Component (ECC)
NetWeaver
Product Lifecycle Management
SAP
SAP Knowledge Management
Supplier Relationship Management (SRM)

Érintett verziók

SAP Product Lifecycle Management 7.x
SAP NetWeaver 4.x
SAP SAP Knowledge Management
SAP ERP Central Component (ECC) 6.x
SAP Supplier Relationship Management (SRM) 7.x

Összefoglaló

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

Leírás

Néhány sérülékenységet jelentettek több SAP szoftverben, amelyet kihasználva rosszindulatú felhasználók script befecskendezéses és rosszindulatú támadók cross-site scripting (XSS) támadásokat indíthatnak.

  1. A “p_current_role” paraméterhez tartozó érték a col_table_filter.htm és a me_ov.htm oldalakon nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A “LINK” mezőhöz tartozó érték link készítésekor és a fájlnév érték dokumentum feltöltésekor nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beillesztésére, amit a felhasználó böngészője végrehajt az érintett oldal vonatkozásában, a rosszindulatú adat megtekintésekor.

Megoldás

Telepítse a javítócsomagokat