CVE-2021-40503

Опубликовано: 10 нояб. 2021

Источник: nvd

CVSS3: 7.8

CVSS2: 2.1

EPSS Низкий

Уязвимость раскрытия информации в SAP GUI для Windows, позволяющая получить пароль пользователя

Описание

В SAP GUI для Windows версий до 7.60 PL13 и 7.70 PL4 обнаружена уязвимость, позволяющая злоумышленнику с достаточными привилегиями на локальном ПК получить эквивалент пароля пользователя. Утечка этого конфиденциального данных позволяет злоумышленнику войти в backend-систему, к которой был подключён SAP GUI, и проводить дальнейшие атаки в зависимости от полномочий пользователя.

Затронутые версии ПО

SAP GUI для Windows версии < 7.60 PL13
SAP GUI для Windows версии 7.70 PL4

Тип уязвимости

Утечка конфиденциальной информации

Ссылки

https://launchpad.support.sap.com/#/notes/3080106
Permissions Required
Vendor Advisory
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
Vendor Advisory
https://launchpad.support.sap.com/#/notes/3080106
Permissions Required
Vendor Advisory
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sap:gui_for_windows:*:*:*:*:*:*:*:*

Версия до 7.60 (исключая)

cpe:2.3:a:sap:gui_for_windows:7.60:-:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level1:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level10:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level11:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level12:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level2:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level3:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level4:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level5:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level6:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level7:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level8:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level8_hotfix1:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.60:patch_level9:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.70:-:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.70:patch_level1:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.70:patch_level2:*:*:*:*:*:*

cpe:2.3:a:sap:gui_for_windows:7.70:patch_level3:*:*:*:*:*:*

EPSS

Процентиль: 12%

0.00041

Низкий

7.8 High

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-522

Связанные уязвимости

GHSA-j8r9-mcxg-mjg4

github

больше 3 лет назад

An information disclosure vulnerability exists in SAP GUI for Windows - versions < 7.60 PL13, 7.70 PL4, which allows an attacker with sufficient privileges on the local client-side PC to obtain an equivalent of the user’s password. With this highly sensitive data leaked, the attacker would be able to logon to the backend system the SAP GUI for Windows was connected to and launch further attacks depending on the authorizations of the user.