Vulnérabilité dans SAP Web Dispatcher et SAP Netweaver AS
Date de publication :
CVE-2022-27656[Score CVSS v3.1 : 8.3] (critique)
L'interface utilisateur d'administration Web de SAP Web Dispatcher et d'Internet Communication Manager (ICM) présente un défaut de vérification par rapport à l’encodage des entrées fournies par l'utilisateur. Un attaquant distant peut injecter un script malveillant dans une page Web (attaque XSS) qui sera exécuté dans le navigateur internet d'une victime.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 8.3
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
La vulnérabilité exploitée est du type
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
SAP Netweaver AS pour ABAP et Java (ICM) est affecté par cette vulnérabilité dans les versions suivantes :
- KRNL64NUC, 7.22, 7.22EXT, 7.49,
- KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, 8.04,
- Noyau 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 8.04.SAP
Web Dispatcher (Web Administration UI) est affecté par cette vulnérabilité dans les versions 7.49, 7.53, 7.77, 7.81, 7.85 et 7.22_EXT.
Solutions ou recommandations
Des mises à jour pour les produits affectés sont disponibles pour les clients SAP ici.