int(6499)

Boletines de Vulnerabilidades


Vulnerabilidad en SAP NetWeaver

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Networking
Software afectado SAP NetWeaver

Descripción

Se ha descubierto una vulnerabilidad en SAP NetWeaver, que consiste en una mala validación de peticiones XML llevadas a cabo por el parser PMI XML. Este error podría ser aprovechado por un atacante remoto para leer cualquier archivo local dels sistema afectado.

Solución

Aplicar el parche publicado por el fabricante.

Identificadores estándar

Propiedad Valor
CVE
BID BID-56281

Recursos adicionales

SAP Note 1721309
https://service.sap.com/sap/support/notes/1721309

ERPScan (DSECRG-12-037):
http://erpscan.com/advisories/dsecrg-12-037-sap-netweaver-pmi-agent-configuration-xml-external-entity/

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-10-30

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT