Vulnerability Bulletins |
Múltiples vulnerabilidades en el componente “Internet Transaction Server” en SAP |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software | SAP "Internet Transaction Server" 4620.2.0.32301, Build 46B.323011 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en el componente "Internet Transaction Server" de SAP, que tiene la función de permitir el acceso a los usuarios a mediante un servidor web. Estos fallos son debidos a comprobaciones incorrectas de ciertos parámetros de las peticiones HTTP y residen en el archivo "wgate.dll". Explotando estas vulnerabilidades un atacante puede: -Obtener la ruta del directorio dónde el componente SAP está instalado. -Visualizar el código de algunos archivos de sistema. -Realizar un ataque de "cross-site scripting" incluyendo código Javascript en algunos parámetros HTTP. |
|
Solution |
|
|
Actualización de software Actualice SAP de acuerdo con las notas de aviso 598074, 595383 y 654038 http://www.sap.com |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Bugtraq Mailing List: "SAP Internet Transaction Server" 30/08/2003 http://marc.theaimsgroup.com/?l=bugtraq&m=106229369712568&w=2 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-09-15 |