CVE-2022-26105

MITJÀ: (6.1) 

CVSS6: 5.8

SAP NetWeaver Enterprise Portal és vulnerable a les seqüències multi-lloc, causades per una validació incorrecta de l’entrada subministrada per l’usuari. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant un URL especialment dissenyat per executar scripts al navegador web d’una víctima en el context de seguretat del lloc web d’allotjament, una vegada que es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.

Sistemes Afectats

• SAP NetWeaver Enterprise Portal 7.11
• SAP NetWeaver Enterprise Portal 7.20
• SAP NetWeaver Enterprise Portal 7.30
• SAP NetWeaver Enterprise Portal 7.31
• SAP NetWeaver Enterprise Portal 7.40
• SAP NetWeaver Enterprise Portal 7.50
• SAP NetWeaver Enterprise Portal 7.10

Remediació
Els clients actuals de SAP haurien de consultar la nota SAP 3163583 per obtenir informació sobre actualitzacions, disponible des del lloc web SAP (cal iniciar la sessió).

Referències

• https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
• https://launchpad.support.sap.com/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26105