Vigil@nce : SAP GUI, exécution de commande via SAPBExCommonResources
mars 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’ActiveX SAPBExCommonResources de SAP
GUI, afin d’exécuter une commande sur la machine de la victime
consultant une page HTML illicite.
– Gravité : 2/4
– Date création : 24/03/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit SAP GUI for Windows installe l’ActiveX
SAPBExCommonResources, qui peut être appelé depuis le navigateur
web de l’utilisateur.
La méthode Execute() de SAPBExCommonResources exécute directement
une commande shell.
Un attaquant peut donc employer l’ActiveX SAPBExCommonResources de
SAP GUI, afin d’exécuter une commande sur la machine de la victime
consultant une page HTML illicite.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SAP-GUI-execution-de-commande-via-SAPBExCommonResources-9531