Seqüència d’ordres en llocs creuats de SAP UI5 Variant Management
23/06/2023
CVE-2023-33991
ALT: (8,2)
CVSS3: 7,1
SAP UI5 Variant Management és vulnerable a seqüències d’ordres en llocs creuats causades per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat per injectar scripts maliciosos en una pàgina web i que s’executarien des del navegador de la víctima dins del context de seguretat del lloc web d’allotjament una vegada que es visualitza la pàgina. L’atacant podria utilitzar aquesta vulnerabilitat per prendre les credencials d’autenticació basades en les cookies de la víctima.
Sistemes Afectats
- SAP UI5 Variant Management SAP_UI 750
- SAP UI5 Variant Management SAP_UI 754
- SAP UI5 Variant Management SAP_UI 755
- SAP UI5 Variant Management SAP_UI 756
- SAP UI5 Variant Management SAP_UI 757
- SAP UI5 Variant Management UI_700 200
Remediació
Els clients actuals de SAP han de consultar la nota SAP 3324285 per obtenir informació sobre l’actualització disponible al lloc web de SAP (és necessari iniciar sessió). Per més informació, podeu consultar l’apartat de les referències.
