BDU:2023-04399

Опубликовано: 27 июл. 2023

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость программы для создания и управления обучающими материалами SAP Enable Now связана с отсутствием заголовка ответа X-Content-Type-Options. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести XSS-атаки

Вендор

SAP SE

Наименование ПО

SAP Enable Now

Версия ПО

WPB_MANAGER 1.0 (SAP Enable Now)

WPB_MANAGER_CE 10 (SAP Enable Now)

WPB_MANAGER_HANA 10 (SAP Enable Now)

ENABLE_NOW_CONSUMP_DEL 1704 (SAP Enable Now)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-36918
CVE

EPSS

Процентиль: 61%

0.0042

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2023-36918

CVSS3: 6.1

nvd

больше 2 лет назад

In SAP Enable Now - versions WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704, the X-Content-Type-Options response header is not implemented, allowing an unauthenticated attacker to trigger MIME type sniffing, which leads to Cross-Site Scripting, which could result in disclosure or modification of information.

GHSA-5cgp-98vf-r77v

CVSS3: 6.1

github

больше 2 лет назад

EPSS

Процентиль: 61%

0.0042

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2