Vigil@nce : SAP cFolders, Cross Site Scripting
avril 2009 par Vigil@nce
Un attaquant peut mener plusieurs Cross Site Scripting dans SAP
Collaboration Folders.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 22/04/2009
PRODUITS CONCERNÉS
– SAP ERP
– SAP NetWeaver
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit SAP Collaboration Folders est intégré dans plusieurs
produits SAP : SAP ECC, SAP Product Lifecycle Management (PLM),
SAP Supplier Relationship Management (SRM), SAP Knowledge
Management et SAP NetWeaver cRooms (collaboration rooms).
Les scripts suivants ne vérifient pas les données reçues avant de
les afficher :
https://site/sap/bc/bsp/sap/cfx_rfc_ui/col_table_filter.htm
https://site/sap/bc/bsp/sap/cfx_rfc_ui/me_ov.htm
https://site/sap/bc/bsp/sap/cfx_rfc_ui/hyp_de_create.htm
Un attaquant peut donc mener plusieurs Cross Site Scripting dans
SAP Collaboration Folders.
CARACTÉRISTIQUES
– Références : 1284360, 1292875, BID-34658, VIGILANCE-VUL-8663
– Url : http://vigilance.fr/vulnerabilite/SAP-cFolders-Cross-Site-Scripting-8663
Pour modifier vos préférences email (fréquence, seuil de gravité, format) :
https://vigilance.fr/?action=2041549901&langue=1