CVE-2015-8840

Опубликовано: 08 апр. 2016

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

The XML Data Archiving Service (XML DAS) in SAP NetWeaver AS Java does not check authorization, which allows remote authenticated users to obtain sensitive information, gain privileges, or possibly have unspecified other impact via requests to (1) webcontent/cas/cas_enter.jsp, (2) webcontent/cas/cas_validate.jsp, or (3) webcontent/aas/aas_store.jsp, aka SAP Security Note 1945215.

Ссылки

http://scn.sap.com/community/security/blog/2015/07/15/sap-security-notes-july-2015
Broken Link
https://erpscan.io/advisories/erpscan-15-017-sap-netweaver-j2ee-das-service-unauthorized-access/
Third Party Advisory
http://scn.sap.com/community/security/blog/2015/07/15/sap-security-notes-july-2015
Broken Link
https://erpscan.io/advisories/erpscan-15-017-sap-netweaver-j2ee-das-service-unauthorized-access/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:sap:netweaver_application_server_java:-:*:*:*:*:*:*:*

EPSS

Процентиль: 64%

0.00476

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-862

Связанные уязвимости

GHSA-w4vx-prc6-6vhh

CVSS3: 8.8

github

больше 3 лет назад

BDU:2016-01026

fstec

почти 10 лет назад

Уязвимость программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю получить конфиденциальную информацию, повысить свои привилегии или оказать другое воздействие