| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Riassunto
È stata trovata una vulnerabilità classificata come critico in SAP NetWeaver. Viene interessata una funzione sconosciuta appartenente al componente Internet Sales. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. L'attacco si effettua con la rete. Inoltre, è presente un exploit disponibile. Si consiglia di applicare una patch per risolvere questo problema.
Dettagli
Un punto di criticita di livello critico è stato rilevato in SAP NetWeaver (Solution Stack Software). Da questa vulnerabilità è interessato una funzione sconosciuta del componente Internet Sales. La manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe cross site scripting. Questo agisce su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 13/03/2012 da Dmitry Chastuchin da ERPScan con identificazione DSECRG-12-023 con un avis (Website) (non definito). L'advisory è scaricabile da service.sap.com. La pubblicazione è stata coordinata con la ditta produttrice. L'uso è semplice. Con la rete può partire l'attacco. Per l'uso non è richiesta un'autentificazione. Non sono conosciuti dettagli tecnici ma un privato metodo di utilizzo è disponibile.
È stato dichiarato come prova di concetto. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 219 giorni.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da sap.com. Una possibile soluzione è stata pubblicata prima e non solo dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database OSVDB (92736†). If you want to get best quality of vulnerability data, you may have to visit VulDB.
Prodotto
Genere
Fornitore
Nome
Licenza
Sito web
- Fornitore: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 6.3VulDB Punteggio meta temporaneo: 5.7
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 5.7
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Cross site scriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Privato
Stato: Prova di concetto
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Patch: sap.com
Sequenza temporale
08/04/2011 🔍10/04/2011 🔍
13/11/2011 🔍
13/03/2012 🔍
29/04/2013 🔍
21/03/2019 🔍
Fonti
Fornitore: sap.comAvis: DSECRG-12-023
Ricercatore: Dmitry Chastuchin
Organizzazione: ERPScan
Stato: Non definito
Coordinato: 🔍
GCVE (VulDB): GCVE-100-8530
OSVDB: 92736
scip Labs: https://www.scip.ch/en/?labs.20150716
Vedi anche: 🔍
Voce
Data di creazione: 29/04/2013 18:18Aggiornato: 21/03/2019 08:20
Cambiamenti: 29/04/2013 18:18 (52), 21/03/2019 08:20 (2)
Completa: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.