CVE-2023-49583

Опубликовано: 12 дек. 2023

Источник: nvd

CVSS3: 9.1

CVSS3: 9.8

EPSS Низкий

Описание

SAP BTP Security Services Integration Library ([Node.js] @sap/xssec - versions < 3.6.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

Ссылки

https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/
Vendor Advisory
https://me.sap.com/notes/3411067
Permissions Required
https://me.sap.com/notes/3412456
https://me.sap.com/notes/3413475
https://www.npmjs.com/package/@sap/xssec
Product
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Vendor Advisory
https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/
Vendor Advisory
https://me.sap.com/notes/3411067
Permissions Required
https://me.sap.com/notes/3412456
https://me.sap.com/notes/3413475
https://www.npmjs.com/package/@sap/xssec
Product
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:sap:\@sap\/xssec:*:*:*:*:*:node.js:*:*

Версия до 3.6.0 (исключая)

EPSS

Процентиль: 57%

0.0035

Низкий

9.1 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-749

Связанные уязвимости

GHSA-p2vx-qj66-88q3

CVSS3: 9.1

github

около 2 лет назад

Escalation of privileges in @sap/xssec

BDU:2023-08964

CVSS3: 9.1

fstec

около 2 лет назад

Уязвимость библиотеки управления доступом к приложениям SAP XS Advanced sap/xssec платформы разработки, интеграции и расширения приложений в виртуальной среде SAP Business Technology Platform (BTP), связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 57%

0.0035

Низкий

9.1 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-749