SAP Enterprise Threat Detection 2.0 межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
2.5$0-$5k0.00

Уязвимость была найдена в SAP Enterprise Threat Detection 2.0. Она была оценена как проблемные. Затронута неизвестная функция. Определение CWE для уязвимости следующее CWE-79. Резюме по CVE следующее:

SAP Enterprise Threat Detection (ETD) - version 2.0, does not sufficiently encode user-controlled inputs which may lead to an unauthorized attacker possibly exploit XSS vulnerability. The UIs in ETD are using SAP UI5 standard controls, the UI5 framework provides automated output encoding for its standard controls. This output encoding prevents stored malicious user input from being executed when it is reflected in the UI.
Консультацию можно прочитать на сайте launchpad.support.sap.com.

Эта уязвимость однозначно идентифицируется как CVE-2022-22529. Назначение CVE произошло 04.01.2022. Атака может быть инициирована удаленно. Технические подробности отсутствуют. Сложность атаки довольно высока. Эксплуатационная пригодность, как говорят, затруднена. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1059.007.

Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.

Рекомендуется применить исправление для устранения этой проблемы.

ПродуктИнформацияРедактировать

Поставщик

Имя

CPE 2.3ИнформацияРедактировать

CPE 2.2ИнформацияРедактировать

CVSSv3ИнформацияРедактировать

VulDB Meta Base Score: 2.6
VulDB Meta Temp Score: 2.5

VulDB Базовый балл: 2.6
VulDB Временная оценка: 2.5
VulDB Вектор: 🔒
VulDB Надежность: 🔍

CVSSv2ИнформацияРедактировать

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надежность: 🔍

ЭксплуатацияИнформацияРедактировать

Класс: межсайтовый скриптинг
CWE: CWE-79
ATT&CK: T1059.007

Локальный: Нет
Удаленный: Да

Доступность: 🔒
Статус: Не определено
Прогнозирование цены: 🔍
Оценка текущей цены: 🔒

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Разведка угрозИнформацияРедактировать

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформацияРедактировать

Рекомендуется: Патч
Статус: 🔍

0-дневное время: 🔒

Патч: launchpad.support.sap.com

Временная шкалаИнформацияРедактировать

04.01.2022 CVE присвоен
15.01.2022 +11 дни Консультация раскрыта
15.01.2022 +0 дни Запись в VulDB создана
19.01.2022 +4 дни Последнее обновление VulDB

ИсточникиИнформацияРедактировать

Поставщик: sap.com

Консультация: launchpad.support.sap.com
Статус: Подтвержденный

CVE: CVE-2022-22529 (🔒)
scip Labs: https://www.scip.ch/en/?labs.20150716

ВходИнформацияРедактировать

Создано: 15.01.2022 07:48
Обновлено: 19.01.2022 11:51
Изменения: (1) source_cve_nvd_summary
Завершить: 🔍

Комментарии

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!