VDB-92542 · CVE-2016-7435 · BID 93272

SAP NetWeaver 7.40 SP12 SCTC_REFRESH_IMPORT_USR_CLNT privilege escalation

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
8.9$0-$5k0.00

W SAP NetWeaver 7.40 SP12 (Solution Stack Software) została odkryta podatność. Podatnością dotknięta jest funkcja SCTC_REFRESH_IMPORT_USR_CLNT. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na poufność, spójność i dostępność.

Informacja o podatności została podana do publicznej wiadomości w dniu 2016-10-11 przez osobę/y Pablo Artuso z firmy Onapsis w formie potwierdzone mailinglist post (Full-Disclosure). Raport na temat podatności został udostępniony pod adresem seclists.org. Publikacja informacji została przeprowadzona we współpracy z producentem. Podatność ta posiada unikalny identyfikator CVE-2016-7435. Luka jest łatwo eksploitowalna. Możliwe jest zdalne zainicjowanie ataku. Pojedyncze uwierzytelnienie jest wymagane do eksploitacji. Szczegóły techniczne są znane, ale exploit nie jest dostępny.

Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 251 dni.

Zastosowanie poprawka eliminuje problem. Potencjalne zabezpieczenie zostało opublikowane przed po ujawnieniu podatności.

Produktinfo

Rodzaj

Sprzedawca

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 9.1
VulDB Wynik metatemperatury: 8.9

VulDB Wynik podstawowy: 9.1
VulDB Wynik tymczasowy: 8.7
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 9.1
NVD Wektor: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Przekroczenie uprawnień
CWE: CWE-264
ATT&CK: T1068

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Poprawka
Status: 🔍

Czas reakcji: 🔍
0-dniowy czas: 🔍

Oś czasuinfo

2015-11-26 🔍
2015-11-27 +1 dni 🔍
2016-08-03 +250 dni 🔍
2016-09-09 +37 dni 🔍
2016-10-03 +24 dni 🔍
2016-10-05 +2 dni 🔍
2016-10-11 +6 dni 🔍
2016-10-12 +1 dni 🔍
2022-09-22 +2171 dni 🔍

Źródłainfo

Sprzedawca: sap.com

Raport: seclists.org
Badacz: Pablo Artuso
Organizacja: Onapsis
Status: Potwierdzone
Koordynowane: 🔍

CVE: CVE-2016-7435 (🔍)
SecurityFocus: 93272 - SAP Netweaver CVE-2016-7435 Multiple OS Command Injection Vulnerabilities

scip Labs: https://www.scip.ch/en/?labs.20150716
Zobacz także: 🔍

Wpisinfo

Stworzono: 2016-10-12 09:56
Aktualizacje: 2022-09-22 18:31
Zmiany: 2016-10-12 09:56 (58), 2019-05-07 16:38 (14), 2022-09-22 18:31 (3)
Kompletny: 🔍

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Do you need the next level of professionalism?

Upgrade your account now!