SAP NetWeaver Recursive XML External Entity Data Parser negazione del servizio
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Riassunto
È stata scoperta una vulnerabilità classificata come problematico in SAP NetWeaver. Si considera coinvolta una funzione sconosciuta nel componente Recursive XML External Entity Data Parser. Mediante la manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe negazione del servizio. Inoltre, è presente un exploit disponibile. Il miglior modo suggerito per attenuare il problema è applicare le correzioni al componente problematico.
Dettagli
In SAP NetWeaver (Solution Stack Software) è stato trovato un punto critico di livello critico. Interessato da questa vulnerabilità è una funzione sconosciuta del componente Recursive XML External Entity Data Parser. Attraverso l'influenza di un input sconosciuto se causa una vulnerabilità di classe negazione del servizio. Questo ha effetto su la disponibilità.
La vulnerabilità è stata pubblicata in data 13/03/2012 da Alexey Tyurin da ERPScan con identificazione DSECRG-12-022 con un avis (Website) (non definito). L'advisory è scaricabile da service.sap.com. La pubblicazione è stata eseguita con il produttore. È facile da usare. L'attacco può avvenire nella rete. L'utilizzo non richiede alcuna forma di autentificazione. Non sono conosciuti dettagli tecnici ma un privato metodo di utilizzo è disponibile.
È stato dichiarato come prova di concetto. Per almeno 219 giorni, questa vulnerabilità è stata classificata come 0-day exploit.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da sap.com. Una possibile soluzione è stata pubblicata prima e non solo dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database OSVDB (92735†). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Prodotto
Genere
Fornitore
Nome
Licenza
Sito web
- Fornitore: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 7.5VulDB Punteggio meta temporaneo: 6.7
VulDB Punteggio di base: 7.5
VulDB Punteggio temporaneo: 6.7
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Negazione del servizioCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Privato
Stato: Prova di concetto
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Patch: sap.com
Sequenza temporale
08/04/2011 🔍10/04/2011 🔍
13/11/2011 🔍
13/03/2012 🔍
29/04/2013 🔍
21/03/2019 🔍
Fonti
Fornitore: sap.comAvis: DSECRG-12-022
Ricercatore: Alexey Tyurin
Organizzazione: ERPScan
Stato: Non definito
Coordinato: 🔍
GCVE (VulDB): GCVE-100-8529
OSVDB: 92735
scip Labs: https://www.scip.ch/en/?labs.20150716
Vedi anche: 🔍
Voce
Data di creazione: 29/04/2013 18:17Aggiornato: 21/03/2019 08:17
Cambiamenti: 29/04/2013 18:17 (52), 21/03/2019 08:17 (2)
Completa: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.