Boletines de Vulnerabilidades |
Vulnerabilidades en SAP Netweaver |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | SAP NetWeaver 7.x |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en SAP NetWeaver, que podrían permitir a atacantes maliciosos realizar ataques de tipo "cross-site scripting" y obtener acceso a información sensible. 1) Vulnerabilidad consistente en que no se sanea correctamente una entrada relacionada con Preformance Provider, lo que podría permitir a un atacante ejecutar código HTML y scripts arbitrarios en la sesión del navegador. 2) Vulnerabilidad en Classification (CA-CL), en la versión 7.30 (Basis 720 SP 0, Kernel 720 patch 68), que podría permitir a un atacante obtener acceso al sistema de ficheros del servidor SAP mediante ataques SMB Relay. 3) Vulnerabilidad en Log Viewer 6.30 para Windows que podría permitir a un atacante obtener acceso al sistema operativo del servidor SAP y a sus archivos. |
|
Solución |
|
Aplicar la actualización publicada. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
[DSECRG-13-006] SAP NetWeaver Performance Provider – XSS http://erpscan.com/advisories/dsecrg-13-006-sap-netweaver-performance-provider-xss/ [DSECRG-13-007] SAP NetWeaver Classification – SMB Relay vulnerability http://erpscan.com/advisories/dsecrg-13-007-sap-netweaver-classification-smb-relay-vulnerability/ [DSECRG-13-008] SAP NetWeaver Logviewer – Security Check Bypass http://erpscan.com/advisories/dsecrg-13-008-sap-netweaver-logviewer-security-check-bypass/ |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2013-03-26 |