| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in SAP Internet Graphics Service gefunden. Hierbei geht es um eine nicht exakt ausgemachte Funktion. Dank der Manipulation des Arguments PARAMS mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2007-3613 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Die SAP AG ist der größte europäische und weltweit drittgrößte Softwarehersteller. Der Hauptsitz befindet sich im badischen Walldorf (Rhein-Neckar-Kreis). Tätigkeitsschwerpunkt ist die Entwicklung von Software für Groß- und mittelständische Unternehmen, die einen zentralen Zugriff auf wichtige Geschäftsdaten bezweckt, wie z. B. Kundenbestellungen, Rechnungen und Produktionsauslastung. Mark Litchfield von NGS Software beschreibt in einem Advisory eine Schwachstelle, bei der SAP Internet Graphics Service die Variable PARAMS in ADM:GETLOGFILE nicht korrekt validiert bevor sie an den Benutzer ausgegeben werden kann. Ein Angreifer kann dies ausnutzen, um einen Cross-Site-Scripting Angriff durchzuführen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (35280), Exploit-DB (30279), SecurityFocus (BID 24775†), OSVDB (36480†) und Secunia (SA25950†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Wie bei vergleichbaren Schwachstellen ist hier aufgrund der Kritikalität der zugrundeliegenden Systeme Vorsicht geboten, obschon eine XSS-Lücke oftmals auf Anwender und nicht das System als solches abzielt. Es gilt hier, die entsprechenden Patches des Herstellers baldmöglichst einzuspielen um die Gefahr einer Ausnutzung zu minimieren.
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: sap.com
Timeline
05.07.2007 🔍05.07.2007 🔍
06.07.2007 🔍
06.07.2007 🔍
06.07.2007 🔍
06.07.2007 🔍
06.07.2007 🔍
06.07.2007 🔍
18.07.2007 🔍
20.02.2025 🔍
Quellen
Hersteller: sap.comAdvisory: ngssoftware.com
Person: Mark Litchfield
Firma: NGSSoftware
Status: Bestätigt
CVE: CVE-2007-3613 (🔍)
GCVE (CVE): GCVE-0-2007-3613
GCVE (VulDB): GCVE-100-3163
X-Force: 35280 - SAP Internet Graphics Server (IGS) ADM:GETLOGFILE cross-site scripting, Medium Risk
SecurityFocus: 24775 - SAP Internet Graphics Server PARAMS Cross Site Scripting Vulnerability
Secunia: 25950 - SAP Internet Graphics Service "PARAMS" Cross-Site Scripting, Less Critical
OSVDB: 36480 - SAP Internet Graphics Service ADM:GETLOGFILE PARAMS Parameter XSS
SecurityTracker: 1018339
Vupen: ADV-2007-2452
scip Labs: https://www.scip.ch/?labs.20150716
Eintrag
Erstellt: 18.07.2007 16:22Aktualisierung: 20.02.2025 08:17
Anpassungen: 18.07.2007 16:22 (82), 23.03.2019 19:21 (1), 20.02.2025 08:17 (17)
Komplett: 🔍
Cache ID: 216:EE7:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.