VDB-1886 · SA17515

SAP Web Application Server bis 7.00 Fehlermeldungsseiten Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.0$0-$5k0.00

SAP wurde 1972 von fünf ehemaligen Mitarbeitern der IBM gegründet. Mit NetWeaver soll der zunehmenden Komplexität der SAP-Produkte Rechnung getragen werden. Gegenwärtig bietet die SAP mit dem Produkt SAP NetWeaver, eine Plattform an, mit deren Hilfe unterschiedliche Business-Anwendungen integriert werden können. [http://de.wikipedia.org/wiki/SAP_AG] Leandro Meiners von Cybsec S.A. entdeckte gleich mehrere Fehler im SAP Web Application Server bis 7.00. Drei davon sind auf Cross Site Scripting-Schwachstellen zurückzuführen. Eine davon findet sich in den dynamisch generierten Fehlermeldungsseiten wieder. Ein Angreifer kann diesen Umstand nutzen, um Angriffe im Kontext des Webbrowsers des Opfers durchzuführen. Das exemplarische Vorgehen für das Umsetzen des Angriffs wurde im Advisory festgehalten. SAP wartet mit einer Lösung auf. Nutzer müssen jedoch den Hersteller kontaktieren, um genaue Details für die Gegenmassnahmen zu erhalten. Mit dieser Schwachstelle verwandte Einträge finden sich unter 1887, 1888, 1885 und 26928.

Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem sämtliche Benutzer einer SAP-Umgebung gefährdet sind, muss man das Risiko als gegeben akzeptieren.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.0

VulDB Base Score: 5.5
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Patch: sap.com

Timelineinfo

10.11.2005 🔍
11.11.2005 +1 Tage 🔍
05.07.2019 +4984 Tage 🔍

Quelleninfo

Hersteller: sap.com

Advisory: cybsec.com
Person: Leandro Meiners
Firma: Cybsec S.A.
Status: Nicht definiert
Secunia: 17515 - SAP Web Application Server Multiple Vulnerabilities, Less Critical

scip Labs: https://www.scip.ch/?labs.20150716
Siehe auch: 🔍

Eintraginfo

Erstellt: 11.11.2005 10:48
Aktualisierung: 05.07.2019 11:31
Anpassungen: 11.11.2005 10:48 (49), 05.07.2019 11:31 (5)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!