SAP NetWeaver 7.4 Universal Worklist Configuration erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung problematisch in SAP NetWeaver 7.4 gefunden. Dabei betrifft es einen unbekannter Codeteil der Komponente Universal Worklist Configuration. Die Bearbeitung verursacht erweiterte Rechte. Die Identifikation der Schwachstelle wird mit CVE-2016-2388 vorgenommen. Der Angriff kann über das Netzwerk passieren. Ferner existiert ein Exploit.
Details
Eine problematische Schwachstelle wurde in SAP NetWeaver 7.4 (Solution Stack Software) entdeckt. Dies betrifft ein unbekannter Teil der Komponente Universal Worklist Configuration. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
The Universal Worklist Configuration in SAP NetWeaver 7.4 allows remote attackers to obtain sensitive user information via a crafted HTTP request, aka SAP Security Note 2256846.Die Schwachstelle wurde am 16.02.2016 als 2256846 in Form eines bestätigten Security Notes (Website) veröffentlicht. Auf erpscan.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 16.02.2016 als CVE-2016-2388 statt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.
Unter exploit-db.com wird der Exploit zur Verfügung gestellt. Er wird als attackiert gehandelt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (39841) und Vulnerability Center (SBV-57423†) dokumentiert. Die Einträge VDB-81000, VDB-81001 und VDB-81003 sind sehr ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CNA Base Score: 5.3
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 801767
OpenVAS Name: SAP NetWeaver Multiple Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
16.02.2016 🔍16.02.2016 🔍
16.02.2016 🔍
16.02.2016 🔍
17.02.2016 🔍
20.03.2016 🔍
04.02.2025 🔍
Quellen
Hersteller: sap.comAdvisory: 2256846
Status: Bestätigt
CVE: CVE-2016-2388 (🔍)
GCVE (CVE): GCVE-0-2016-2388
GCVE (VulDB): GCVE-100-81002
Vulnerability Center: 57423 - SAP NetWeaver 7.4 Remote Information Disclosure via a Crafted HTTP Request, Medium
scip Labs: https://www.scip.ch/?labs.20150716
Siehe auch: 🔍
Eintrag
Erstellt: 17.02.2016 09:25Aktualisierung: 04.02.2025 23:48
Anpassungen: 17.02.2016 09:25 (62), 01.02.2019 14:46 (12), 27.04.2024 07:20 (29), 09.09.2024 22:30 (2), 22.01.2025 20:36 (1), 04.02.2025 23:48 (9)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.