CVE-2019-0370

Опубликовано: 08 окт. 2019

Источник: nvd

CVSS3: 6.5

CVSS2: 6.4

EPSS Низкий

Описание

Due to missing input validation, SAP Financial Consolidation, before versions 10.0 and 10.1, enables an attacker to use crafted input to interfere with the structure of the surrounding query leading to XPath Injection.

Ссылки

https://launchpad.support.sap.com/#/notes/2806403
Permissions Required
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528123050
Vendor Advisory
https://launchpad.support.sap.com/#/notes/2806403
Permissions Required
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528123050
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sap:financial_consolidation:10.0:*:*:*:*:*:*:*

cpe:2.3:a:sap:financial_consolidation:10.1:*:*:*:*:*:*:*

EPSS

Процентиль: 56%

0.0034

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-91

Связанные уязвимости

GHSA-5p4v-rpm8-m6g3

CVSS3: 6.5

github

больше 3 лет назад

BDU:2020-00043

CVSS3: 6.5

fstec

больше 6 лет назад

Уязвимость веб-приложения SAP Financial Consolidation, связанная с ошибками при обработке XML-запросов, позволяющая нарушителю провести атаку типа «Xpath-инъекция»

EPSS

Процентиль: 56%

0.0034

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-91