BDU:2023-07391

Опубликовано: 11 сент. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость библиотеки SAP CommonCryptoLib связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, изменять или удалять данные с ограниченным доступом

Вендор

SAP SE

Наименование ПО

HANA Database

SAP NetWeaver Application Server

SAP Content Server

SAP Web Dispatcher

SAP EXTENDED APP SERVICES

SAP Host Agent

SAP CommonCryptoLib

SAP NetWeaver Java Application Server

SAPSSOEXT

Версия ПО

2.00 (HANA Database)

7.22 (SAP NetWeaver Application Server)

7.53 (SAP Content Server)

7.53 (SAP Web Dispatcher)

7.77 (SAP Web Dispatcher)

7.85 (SAP Web Dispatcher)

7.22EXT (SAP Web Dispatcher)

7.54 (SAP Web Dispatcher)

7.89 (SAP Web Dispatcher)

1 (SAP EXTENDED APP SERVICES)

kernel 7.22 (SAP NetWeaver Application Server)

kernel 7.53 (SAP NetWeaver Application Server)

kernel 7.54 (SAP NetWeaver Application Server)

kernel 7.77 (SAP NetWeaver Application Server)

kernel 7.85 (SAP NetWeaver Application Server)

kernel 7.89 (SAP NetWeaver Application Server)

kernel 7.92 (SAP NetWeaver Application Server)

kernel 7.93 (SAP NetWeaver Application Server)

krnl64nuc 7.22 (SAP NetWeaver Application Server)

krnl64nuc 7.22ext (SAP NetWeaver Application Server)

krnl64uc 7.22 (SAP NetWeaver Application Server)

krnl64uc 7.22ext (SAP NetWeaver Application Server)

krnl64uc 7.53 (SAP NetWeaver Application Server)

7.22 (SAP Host Agent)

8.0.0 (SAP CommonCryptoLib)

6.50 (SAP Content Server)

7.54 (SAP Content Server)

krnl64uc 8.04 (SAP NetWeaver Application Server)

kernel 7.91 (SAP NetWeaver Application Server)

kernel 8.04 (SAP NetWeaver Application Server)

krnl64nuc 7.22 (SAP NetWeaver Java Application Server)

krnl64nuc 7.22ext (SAP NetWeaver Java Application Server)

krnl64uc 7.22 (SAP NetWeaver Java Application Server)

krnl64uc 7.22ext (SAP NetWeaver Java Application Server)

krnl64uc 7.53 (SAP NetWeaver Java Application Server)

krnl64uc 8.04 (SAP NetWeaver Java Application Server)

kernel 7.22 (SAP NetWeaver Java Application Server)

kernel 7.53 (SAP NetWeaver Java Application Server)

kernel 7.54 (SAP NetWeaver Java Application Server)

kernel 7.77 (SAP NetWeaver Java Application Server)

kernel 7.85 (SAP NetWeaver Java Application Server)

kernel 7.89 (SAP NetWeaver Java Application Server)

kernel 7.91 (SAP NetWeaver Java Application Server)

kernel 7.92 (SAP NetWeaver Java Application Server)

kernel 7.93 (SAP NetWeaver Java Application Server)

kernel 8.04 (SAP NetWeaver Java Application Server)

17.0 (SAPSSOEXT)

Тип ПО

СУБД

Сетевое программное средство

Сетевое средство

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-40309
CVE

EPSS

Процентиль: 37%

0.00162

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-40309

CVSS3: 9.8

nvd

больше 2 лет назад

SAP CommonCryptoLib does not perform necessary authentication checks, which may result in missing or wrong authorization checks for an authenticated user, resulting in escalation of privileges. Depending on the application and the level of privileges acquired, an attacker could abuse functionality restricted to a particular user group as well as read, modify or delete restricted data.

GHSA-42qx-rv8j-r8f3

CVSS3: 9.8

github

больше 2 лет назад

EPSS

Процентиль: 37%

0.00162

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2