GHSA-p2vx-qj66-88q3

Опубликовано: 12 дек. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.1

Описание

Escalation of privileges in @sap/xssec

SAP BTP Security Services Integration Library ([Node.js] @sap/xssec - versions < 3.6.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

Ссылки

Пакеты

Наименование

@sap/xssec

npm

Затронутые версииВерсия исправления

< 3.6.0

3.6.0

EPSS

Процентиль: 57%

0.0035

Низкий

9.1 Critical

CVSS3

CVE ID

CVE-2023-49583

Дефекты

CWE-269

CWE-639

CWE-749

Связанные уязвимости

CVE-2023-49583

CVSS3: 9.1

nvd

около 2 лет назад

BDU:2023-08964

CVSS3: 9.1

fstec

около 2 лет назад

Уязвимость библиотеки управления доступом к приложениям SAP XS Advanced sap/xssec платформы разработки, интеграции и расширения приложений в виртуальной среде SAP Business Technology Platform (BTP), связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 57%

0.0035

Низкий

9.1 Critical

CVSS3

CVE ID

CVE-2023-49583

Дефекты

CWE-269

CWE-639

CWE-749