Összefoglaló
SAP termékek magas, közepes, és alacsony kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó XSS támadást hajthat végre, bizalmas információkhoz juthat hozzá, kódot fecskendezhet be, vagy szolgáltatásmegtagadást okozhat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az SAP összesen 15 sérülékenységet szüntetett meg a június havi frissítésekkel, melyek közül 1 “friss hír”, ezen kívül további 3 magas, 10 közepes és egy alacsony kockázati besorolású.
A SAP Documentation and Translation Tool kódbefecskendezéses sérülékenységét kihasználva a támadó kódot futtathat, illetve olyan információkhoz juthat, melyeknek nem kellene megjelennie. Emellett adatokat változtathat meg, vagy törölhet, rendszerkimenetet módosíthat, magasabb jogosultságú felhasználókat hozhat létre, valamint módosíthatja a rendszer viselkedését és a káros kód futtatásával jogosultság kiterjesztést érhet el, vagy szolgáltatásmegtagadást okozhat.
Az alábbiak SAP komponensekkel kapcsolatban jeleztek még magas kockázati besorolású sérülékenységet:
- DesignStudio SFIN
- ecattping
- Web-Survey
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: scn.sap.com
Egyéb referencia: www.securityweek.com