Fallos CVE de SAP Fiori Apps 1.0 For Travel Management In SAP ERP My Travel Errores CVE en SAP Fiori Apps 1.0 For Travel Management In SAP ERP My Travel
13 de febrero del 2023
- CVE-2023-24528: Las aplicaciones SAP Fiori para la gestión de viajes en SAP ERP (My Travel Requests) - versión 600, permiten a un atacante autenticado explotar un cierto punto final de aplicación mal configurado para ver datos confidenciales. Este punto final normalmente está expuesto a través de la red y la explotación exitosa puede conducir a la exposición de datos como documentos de viaje.
- CVE-2023-24525: SAP CRM WebClient UI: versiones WEBCUIF 748, 800, 801, S4FND 102, 103, no codifica suficientemente las entradas controladas por el usuario, lo que da como resultado una vulnerabilidad de Cross-Site Scripting (XSS). En una explotación exitosa, un atacante autenticado puede causar un impacto limitado en la confidencialidad de la aplicación.
- CVE-2023-24524: SAP S/4 HANA Map Treasury Correspondence Format Data no realiza la verificación de autorización necesaria para un usuario autenticado, lo que resulta en una escalada de privilegios. Esto podría permitir que un atacante elimine los datos con un alto impacto en la disponibilidad.
- CVE-2023-24523: Un atacante autenticado como usuario no administrador con acceso local a un puerto de servidor asignado a SAP Host Agent (Start Service) - versiones 7.21, 7.22, puede enviar una solicitud ConfigureOutsideDiscovery manipulada con un comando del sistema operativo que se ejecutará con privilegios de administrador . El comando del sistema operativo puede leer o modificar cualquier usuario o datos del sistema y puede hacer que el sistema no esté disponible.
- CVE-2023-24522: Debido a una sanitización de entrada insuficiente, SAP NetWeaver AS ABAP (Business Server Pages) - versiones 700, 701, 702, 731, 740, permite que un usuario no autenticado altere la sesión actual del usuario inyectando el código malicioso a través de la red y obtenga acceso a los datos no deseados. Esto puede tener un impacto limitado en la confidencialidad y la integridad de la aplicación.
- CVE-2023-24521: Debido a una sanitización de entrada insuficiente, SAP NetWeaver AS ABAP (BSP Framework) - versiones 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, permite que un usuario no autenticado modifique el actual sesión del usuario inyectando el código malicioso a través de la red y obtener acceso a los datos no deseados. Esto puede tener un impacto limitado en la confidencialidad y la integridad de la aplicación.
Sitios de referencia
- CVE-2023-24525
https://launchpad.support.sap.com/#/notes/2788178 - CVE-2023-24524
https://launchpad.support.sap.com/#/notes/2985905 - CVE-2023-24523
https://launchpad.support.sap.com/#/notes/3285757 - CVE-2023-24522
https://launchpad.support.sap.com/#/notes/3269118 - CVE-2023-24521
https://launchpad.support.sap.com/#/notes/3269151 - CVE-2023-24528
https://launchpad.support.sap.com/#/notes/3290901
Otras paginas de vulnerabilidades CVE
- Devolutions Server
- IOS
- MQ
- Elastic Storage System
- Productos de pc hp que utilizan el firmware AMI UEFI
- Watson knowledge catalog on prem
- Leap
- Windows 10 20h2 preinstaladas de fabrica
- Snapdragon
- Smartpower Web
- EcShop
- AC23
- Aleos
- Global facilities management software
- Modoboa
- Bsafe SSL J
- Supportassist Client Consumer
- Plataforma Poweredge
- Art gallery management system project
- Ipython
- SupportAssist
- System Update
- Unisphere for powermax vapp
- Wyse management suite
- Datahub
- Silverstripe kapost bridge
- codenameOne
- Enable media replace
- WP Google Review Slider
- WP Review Slider
- WP Tripadvisor Review Slider
- WP Airbnb Review Slider
- WP Yelp Review Slider
- Yamaps
- Easy accept payments for paypal
- Templatesnext Toolkit
- Location Weather
- Themify portfolio post
- Lightweight Accordion
- Spotlight social feeds block shortcode and widget
- GPT AI Power
- Acronis agent
- Wifi Mesh Nighthawk
- Sunlogin Sunflower Simplified
- Phpmyadmin
- Simple Markdown
- Lua multipart
- Driver distributor
- Screen Creator Advance 2
- Sushiro
- Lichiran
- Atwellpub resend welcome email plugin
- Thorsten/Phpmyfaq
- Best online news portal
- Genymotion Desktop
- Owncloud
- Btcpayserver
- Mitel micontact center business
- Control by web x 600M
- Control by web x 400
- Responsive Gallery Grid
- Judge me product reviews for woocommerce
- Amazon js
- customer reviews for woocommerce
- url simples
- Utubevideo gallery
- Extensive vc addons for wpbakery page builder
- Product slider for woocommerce by pickplugins
- Form plugin for wordpress
- Social like box and page by wpdevart
- Pinpoint booking system
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-17. Fecha publicación el 2023-02-17. Autor: Oscar olg Mapa del sitio Fuente: cve report