CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/03/2013

Múltiples vulnerabilitats a SAP NetWeaver

ERPScan ha informat de diverses vulnerabilitats en SAP NetWeaver, que podrien ser explotades per atacants maliciosos per a fer atacs de cross-site scripting i, potencialment, divulgar informació sensible.

Risc: Baix

ERPScan ha informat de diverses vulnerabilitats en SAP NetWeaver, que podrien ser explotades per atacants maliciosos per a fer atacs de cross-site scripting i, potencialment, divulgar informació sensible.

1) Una determinada entrada sense especificar relacionada amb Preformance provider no se saneja correctament abans de ser tornada a l’usuari. Açò podria ser explotat per a executar codi html i script arbitrari en la sessió del navegador dins del context del lloc afectat.
2) Un error sense especificar en Classification (CA-CL) podria ser explotat per a divulgar arxius arbitraris en el sistema de fitxers del servidor SAP a través d’atacs SMB relay.
Esta vulnerabilitat està reportada per a les versió 7.30 (basis 720 SP 0, nucli 720, patch 68).
3) Un error sense especificar amb Log viewer podria ser aprofitat per a obtindre accés al sistema operatiu del servidor SAP i, per exemple, divulgar informació d’arxius potencialment sensibles.
Esta vulnerabilitat està reportada per a Log viewer versió 6.30 sobre plataformes Windows.

Sistemes Afectats:

SAP NetWeaver 7.x 

Referències:

None

Solució:

Aplicar actualització (vegeu avisos del proveïdor per a més detalls).

Notes:

SAP:
https://service.sap.com/sap/support/notes/1685106
https://service.sap.com/sap/support/notes/1784894
https://service.sap.com/sap/support/notes/1807196

ERPScan:
http://erpscan.com/advisories/dsecrg-13-006-sap-netweaver-performance-provider-xss/
http://erpscan.com/advisories/dsecrg-13-007-sap-netweaver-classification-smb-relay-vulnerability/
http://erpscan.com/advisories/dsecrg-13-008-sap-netweaver-logviewer-security-check-bypass/

Font: Secunia Advisories

CSIRT-CV