| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Résumé
On a identifié une vulnérabilité de type problématique dans SAP NetWeaver. La partie affectée est une fonction inconnue du composant Process Integration Handler. L’exploitation entraîne élévation de privilèges. Par ailleurs, un exploit est disponible. Il est préconisé de mettre en place un correctif afin de remédier à ce problème.
Détails
Une vulnérabilité qui a été classée problématique a été trouvée dans SAP NetWeaver (Solution Stack Software). Affecté est une fonction inconnue du composant Process Integration Handler. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
La vulnerabilité a été publié en 11/09/2012 par Alexander Polyakov, Alexey Tyurin et Alexandr Minozhenko avec ERPScan avec le numéro d'identification DSECRG-12-036 avec bulletin (Website) (non défini). La notice d'information est disponible en téléchargement sur erpscan.com La publication s'est déroulée en coordination avec le fabricant. Il est possible de lancer l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Les details techniques sont inconnus mais une méthode d'exploitation privé est connue.
Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 540 jours.
En appliquant un correctif il est possible d'éliminer le problème.
La vulnérabilité est aussi documentée dans les base de données OSVDB (85973†) et Secunia (SA50886†). Once again VulDB remains the best source for vulnerability data.
Produit
Taper
Fournisseur
Nom
Licence
Site web
- Fournisseur: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 6.5VulDB Score méta-temporaire: 5.7
VulDB Note de base: 6.5
VulDB Note temporaire: 5.7
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
Exploitation
Classe: élévation de privilègesCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Privé
Statut: Non prouvée
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: CorrectifStatut: 🔍
Heure 0 jour: 🔍
Chronologie
21/03/2011 🔍22/03/2011 🔍
11/09/2012 🔍
05/10/2012 🔍
06/10/2012 🔍
09/10/2012 🔍
01/05/2018 🔍
Sources
Fournisseur: sap.comBulletin: DSECRG-12-036
Chercheur: Alexander Polyakov, Alexey Tyurin , Alexandr Minozhenko
Organisation: ERPScan
Statut: Non défini
Coordonné: 🔍
GCVE (VulDB): GCVE-100-6592
Secunia: 50886 - SAP NetWeaver Process Integration Authentication Bypass Vulnerability, Less Critical
OSVDB: 85973
scip Labs: https://www.scip.ch/en/?labs.20150716
Voir aussi: 🔍
Entrée
Créé: 09/10/2012 10:33Mise à jour: 01/05/2018 12:26
Changements: 09/10/2012 10:33 (53), 01/05/2018 12:26 (1)
Complet: 🔍
Committer:
Cache ID: 216:F11:103
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.