CVE-2023-27269

CRÍTIC: (9,6)

CVSS3: 8,3

SAP NetWeaver Application Serverper ABAP i ABAP Platform podrien permetre a un atacant remot autenticat atravessar directoris del sistema a causa d’una validació incorrecta de la sol·licitud de l’usuari. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingui seqüències “dot dot” (/../) per sobreescriure arxius arbitraris al sistema.

Sistemes Afectats

• SAP NetWeaver AS ABAP 700
• SAP NetWeaver AS ABAP 701
• SAP NetWeaver AS ABAP 702
• SAP NetWeaver AS ABAP 731
• SAP NetWeaver AS ABAP 740
• SAP NetWeaver AS ABAP 750
• SAP NetWeaver AS ABAP 751
• SAP NetWeaver AS ABAP 752
• SAP NetWeaver AS ABAP 753
• SAP NetWeaver AS ABAP 754
• SAP NetWeaver AS ABAP 755
• SAP NetWeaver AS ABAP Platform 700
• SAP NetWeaver AS ABAP Platform 702
• SAP NetWeaver AS ABAP Platform 731
• SAP NetWeaver AS ABAP Platform 740
• SAP NetWeaver AS ABAP Platform 750
• SAP NetWeaver AS ABAP Platform 701
• SAP NetWeaver AS ABAP Platform 751
• SAP NetWeaver AS ABAP Platform 752
• SAP NetWeaver AS ABAP Platform 753
• SAP NetWeaver AS ABAP Platform 754
• SAP NetWeaver AS ABAP Platform 755
• SAP NetWeaver AS ABAP Platform 756
• SAP NetWeaver AS ABAP 756
• SAP NetWeaver AS ABAP 757
• SAP NetWeaver AS ABAP Platform 757
• SAP NetWeaver AS ABAP Platform 791
• SAP NetWeaver AS ABAP 791

Remediació
Els clients actuals de SAP han de consultar la nota 3294595 de SAP per obtenir informació sobre l’actualització. La trobareu disponible al lloc web de SAP. Recordeu que és necessari iniciar la sessió. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
• https://accounts.sap.com/saml2/idp/sso
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27269