| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
In SAP FI Manager Self-Service - eine genaue Versionsangabe ist nicht möglich - wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Privilege Escalation-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-798. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
SAP FI Manager Self-Service has a hard-coded user name, which makes it easier for remote attackers to obtain access via unspecified vectors.Die Schwachstelle wurde am 31.07.2014 durch Sergio Abraham (Website) an die Öffentlichkeit getragen. Das Advisory kann von service.sap.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 31.07.2014 mit CVE-2014-5176 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1110.001.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (94923) dokumentiert. Die Schwachstellen 5630, 8450, 8451 und 8630 sind ähnlich.
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.5
VulDB Base Score: 6.3
VulDB Temp Score: 5.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
29.07.2014 🔍31.07.2014 🔍
31.07.2014 🔍
31.07.2014 🔍
27.08.2014 🔍
26.03.2015 🔍
26.03.2022 🔍
Quellen
Hersteller: sap.comAdvisory: 127669
Person: Sergio Abraham
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-5176 (🔍)
X-Force: 94923 - SAP FI Manager Self-Service default account
SecurityFocus: 68951
Secunia: 59605 - SAP FI Manager Self-Service Hard-coded Credentials Security Bypass Security Issue, Not Critical
scip Labs: https://www.scip.ch/?labs.20150716
Siehe auch: 🔍
Eintrag
Erstellt: 26.03.2015 12:07Aktualisierung: 26.03.2022 14:05
Anpassungen: 26.03.2015 12:07 (48), 04.03.2018 21:56 (7), 26.03.2022 14:00 (3), 26.03.2022 14:05 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.