CVE-2017-15293

Опубликовано: 16 окт. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Xpress Server in SAP POS does not require authentication for file read and erase operations, daemon shutdown, terminal read operations, or certain attacks on credentials. This is SAP Security Note 2520064.

Ссылки

http://www.securityfocus.com/bid/100713
Third Party Advisory
VDB Entry
https://blogs.sap.com/2017/09/12/sap-security-patch-day-september-2017/
Issue Tracking
Vendor Advisory
https://erpscan.io/advisories/erpscan-17-032-sap-pos-missing-authentication-xpressserver/
https://erpscan.io/research/hacking-sap-pos/
http://www.securityfocus.com/bid/100713
Third Party Advisory
VDB Entry
https://blogs.sap.com/2017/09/12/sap-security-patch-day-september-2017/
Issue Tracking
Vendor Advisory
https://erpscan.io/advisories/erpscan-17-032-sap-pos-missing-authentication-xpressserver/
https://erpscan.io/research/hacking-sap-pos/

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sap:point_of_sale_xpress_server:1020:*:*:*:*:*:*:*

cpe:2.3:a:sap:point_of_sale_xpress_server:1030:*:*:*:*:*:*:*

EPSS

Процентиль: 80%

0.01414

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-287

Связанные уязвимости

GHSA-h9wf-v78q-rp3m

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-02511

CVSS3: 9.8

fstec

больше 8 лет назад

Уязвимость в серверном компоненте Xpress Server программного обеспечения для автоматизации бухгалтерского учета, торговли и производства SAP POS, позволяющая нарушителю осуществлять чтение и очистку файлов, завершать работу Xpress Server, просматривать содержимое POS-терминала и осуществлять атаки на учетные записи поользователей

EPSS

Процентиль: 80%

0.01414

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-287