| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in SAP NetWeaver entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Cookie Handler. Die Manipulation führt zu schwache Authentisierung. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine Schwachstelle wurde in SAP NetWeaver - die betroffene Version ist nicht genau spezifiziert - (Solution Stack Software) gefunden. Sie wurde als kritisch eingestuft. Hierbei geht es um unbekannter Programmcode der Komponente Cookie Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-287. Mit Auswirkungen muss man rechnen für Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 18.10.2013 durch Alexander Polyakov von ERPScan als Acknowledgments to Security Researchers in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von service.sap.com heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Der Angriff kann über das Netzwerk passieren. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. SAP hat hiermit vorab reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (99136†) dokumentiert. Unter erpscan.com werden zusätzliche Informationen bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: VDB-65509. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
01.10.2013 🔍18.10.2013 🔍
06.11.2013 🔍
25.03.2019 🔍
Quellen
Hersteller: sap.comAdvisory: Acknowledgments to Security Researchers
Person: Alexander Polyakov
Firma: ERPScan
Status: Bestätigt
Koordiniert: 🔍
GCVE (VulDB): GCVE-100-11084
OSVDB: 99136
scip Labs: https://www.scip.ch/?labs.20150716
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 06.11.2013 14:58Aktualisierung: 25.03.2019 10:24
Anpassungen: 06.11.2013 14:58 (45), 25.03.2019 10:24 (2)
Komplett: 🔍
Editor:
Cache ID: 216:F5A:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.