SAP NetWeaver ABAP XML External Entity Data Parser rivelazione di informazioni
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Riassunto
È stata individuata una vulnerabilità classificata come problematico in SAP NetWeaver. Da questa vulnerabilità è interessato una funzione sconosciuta del componente ABAP XML External Entity Data Parser. La manipolazione di un input sconosciuto se causa una vulnerabilità di classe rivelazione di informazioni. Inoltre, è presente un exploit disponibile. È consigliato applicare una patch per mitigare questo problema.
Dettagli
Un punto critico di livello problematico è stato rilevato in SAP NetWeaver (Solution Stack Software). É interessato una funzione sconosciuta del componente ABAP XML External Entity Data Parser. Mediante la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe rivelazione di informazioni. Questo si osserva su la riservatezza.
La vulnerabilità è stata pubblicata in data 13/03/2012 da Alexey Tyurin da ERPScan con identificazione DSECRG-12-025 con un avis (Website) (non definito). L'advisory è scaricabile da service.sap.com. La pubblicazione è avvenuta in collaborazione con il produttore. Risulta di facile utilizzo. L'attacco può essere lanciato dalla rete. Per l'uso non è richiesta un'autentificazione. Non sono conosciuti dettagli tecnici ma un privato metodo di utilizzo è disponibile.
È stato dichiarato come prova di concetto. Per almeno 184 giorni, questa vulnerabilità è stata classificata come 0-day exploit.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da sap.com. Una possibile soluzione è stata pubblicata prima e non solo dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database OSVDB (92733†). Be aware that VulDB is the high quality source for vulnerability data.
Prodotto
Genere
Fornitore
Nome
Licenza
Sito web
- Fornitore: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.3VulDB Punteggio meta temporaneo: 4.8
VulDB Punteggio di base: 5.3
VulDB Punteggio temporaneo: 4.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Rivelazione di informazioniCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Privato
Stato: Prova di concetto
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Patch: sap.com
Sequenza temporale
13/05/2011 🔍17/05/2011 🔍
13/11/2011 🔍
13/03/2012 🔍
29/04/2013 🔍
21/03/2019 🔍
Fonti
Fornitore: sap.comAvis: DSECRG-12-025
Ricercatore: Alexey Tyurin
Organizzazione: ERPScan
Stato: Non definito
Coordinato: 🔍
GCVE (VulDB): GCVE-100-8527
OSVDB: 92733
scip Labs: https://www.scip.ch/en/?labs.20150716
Vedi anche: 🔍
Voce
Data di creazione: 29/04/2013 18:14Aggiornato: 21/03/2019 08:13
Cambiamenti: 29/04/2013 18:14 (52), 21/03/2019 08:13 (2)
Completa: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.