در مقاله ای جدید از سایت افتا آمده است که چندین آسیبپذیری از جمله CVE-۲۰۲۱-۴۲۰۶۱ و CVE-۲۰۲۱-۴۲۰۶۳ در محصولات SAP امکان اجرای دستورات دلخواه، XSS و … را برای مهاجم فراهم میکنند.
SAP BusinessObjects Business Intelligence Platform (Web Intelligence) – نسخه 420، ورودی های کنترل شده توسط کاربر را به اندازه کافی رمزگذاری نمی کند، که منجر به آسیب پذیری Cross-Site Scripting (XSS) می شود. این به یک مهاجم با امتیاز پایین اجازه می دهد تا برخی از داده ها را از فرد قربانی بازیابی کند که البته هرگز نمی تواند سند را تغییر دهد و این تغییرات را در سرور منتشر کند.
برای حل این مشکل میتوانید از این لینک استفاده نمایید.
یک آسیب پذیری امنیتی در SAP Knowledge Warehouse – نسخه های 7.30، 7.31، 7.40، 7.50 کشف شده است. استفاده از یک جزء SAP KW در یک مرورگر وب که مهاجمان غیرمجاز را قادر می سازد تا حملات XSS را انجام دهند و این کار ممکن است منجر به افشای داده های حساس شود.
برای حل این مشکل میتوانید از این لینک استفاده نمایید.
دو روش یک کلاس کاربردی در SAP NetWeaver AS ABAP – نسخههای 700، 701، 702، 710، 711، 730، 731، 740، 750، 751، 752، 753، 754، 755، 755، 75، 753، 753، 753، 753، 754، 754، 754، 754، 755 به مهاجمی با امتیازات بالا و دسترسی مستقیم به سیستم SAP اجازه می دهد تا هنگام اجرا تزریق کد انجام دهد. این امر میتواند امکان اجرای دستورات دلخواه را در سیستم عامل فراهم کند که میتواند بر محرمانگی، یکپارچگی و در دسترس بودن سیستم تأثیر بگذارد.
برای حل این مشکل میتوانید از این لینک استفاده نمایید.