CERTA-2010-AVI-026

Vulnerability from certfr_avis - Published: 2010-01-22 - Updated: 2010-01-22

Plusieurs vulnérabilités affectent les produits SAP permettant de compromettre le serveur vulnérable ou de tromper ses utilisateurs.

Description

Plusieurs vulnérabilités concernent le produit BusinessObjects :

  • plusieurs manques de vérification des données entrées par l'utilisateur permettent de réaliser des injections de code indirectes ;
  • plusieurs manques de vérification dans les redirecteurs permettent de détourner les utilisateurs vers des sites tiers à leur insu ;
  • plurieurs vulnérabilités permettent à un utilisateur malveillant d'accéder à des informations sensibles.

Une vulnérabilité concerne SAP WebAS. Elle permet à un utilisateur malveillant local ou distant, d'exécuter du code arbitraire, de modifier ou de lire les données sur le serveur vulnérable.

Solution

Pour BusinessObjects, les correctifs sont les fixpacks 1.8 et 2.3.

Pour SAP WebAS, les correctifs sont accessibles par le bulletin SAP Note 1412112 (cf. section Documentation).

None
Impacted products
Vendor Product Description
SAP N/A BusinessObjects XI 3.x ( 12.x) ;
SAP N/A SAP WebAS 6.x et 7.x.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "BusinessObjects XI 3.x ( 12.x) ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "SAP WebAS 6.x et 7.x.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s concernent le produit BusinessObjects :\n\n-   plusieurs manques de v\u00e9rification des donn\u00e9es entr\u00e9es par\n    l\u0027utilisateur permettent de r\u00e9aliser des injections de code\n    indirectes\u00a0;\n-   plusieurs manques de v\u00e9rification dans les redirecteurs permettent\n    de d\u00e9tourner les utilisateurs vers des sites tiers \u00e0 leur insu\u00a0;\n-   plurieurs vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur malveillant\n    d\u0027acc\u00e9der \u00e0 des informations sensibles.\n\nUne vuln\u00e9rabilit\u00e9 concerne SAP WebAS. Elle permet \u00e0 un utilisateur\nmalveillant local ou distant, d\u0027ex\u00e9cuter du code arbitraire, de modifier\nou de lire les donn\u00e9es sur le serveur vuln\u00e9rable.\n\n## Solution\n\nPour BusinessObjects, les correctifs sont les fixpacks 1.8 et 2.3.\n\nPour SAP WebAS, les correctifs sont accessibles par le bulletin SAP Note\n1412112 (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2010-01-22T00:00:00",
  "last_revision_date": "2010-01-22T00:00:00",
  "links": [
    {
      "title": "Site de t\u00e9l\u00e9chargement de BusinessObjects :",
      "url": "http://www.sap.com/solutions/sapbusinessobjects/index.epx"
    }
  ],
  "reference": "CERTA-2010-AVI-026",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2010-01-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Injection de code indirecte \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s affectent les produits SAP permettant de\ncompromettre le serveur vuln\u00e9rable ou de tromper ses utilisateurs.\n",
  "title": "Vuln\u00e9rabilit\u00e9s des produits SAP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "SAP Note 1412112",
      "url": "https://service.sap.com/sap/support/notes/1414112"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.