CERTA-2012-AVI-040
Vulnerability from certfr_avis - Published: 2012-01-31 - Updated: 2012-01-31
Plusieurs vulnérabilités permettant à un utilisateur distant malintentionné de contourner la politique de sécurité et d'injecter indirectement du code à distance sont présentes dans SAP NetWeaver.
Description
Quatre vulnérabilités sont présentes dans SAP NetWeaver. La première concerne une faiblesse dans la gestion des accès à certaines ressources, permettant ainsi de contourner la politique de sécurité. La deuxième permet à une personne malintentionnée d'énumérer les fichiers présents sur le système, permettant ainsi le contournement de la politique de sécurité. La troisième permet d'effectuer une injection de code à distance grâce à une faille dans le module Text Container Administration Application. La dernière concerne SAP NetWeaver Business Communication Broker et permet à une personne malintentionnée d'effectuer une injection de code indirecte à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
SAP NetWeaver 7.x.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eSAP NetWeaver 7.x.\u003c/p\u003e",
"content": "## Description\n\nQuatre vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans SAP NetWeaver. La premi\u00e8re\nconcerne une faiblesse dans la gestion des acc\u00e8s \u00e0 certaines ressources,\npermettant ainsi de contourner la politique de s\u00e9curit\u00e9. La deuxi\u00e8me\npermet \u00e0 une personne malintentionn\u00e9e d\u0027\u00e9num\u00e9rer les fichiers pr\u00e9sents\nsur le syst\u00e8me, permettant ainsi le contournement de la politique de\ns\u00e9curit\u00e9. La troisi\u00e8me permet d\u0027effectuer une injection de code \u00e0\ndistance gr\u00e2ce \u00e0 une faille dans le module Text Container Administration\nApplication. La derni\u00e8re concerne SAP NetWeaver Business Communication\nBroker et permet \u00e0 une personne malintentionn\u00e9e d\u0027effectuer une\ninjection de code indirecte \u00e0 distance.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2012-01-31T00:00:00",
"last_revision_date": "2012-01-31T00:00:00",
"links": [],
"reference": "CERTA-2012-AVI-040",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2012-01-31T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s permettant \u00e0 un utilisateur distant\nmalintentionn\u00e9 de contourner la politique de s\u00e9curit\u00e9 et d\u0027injecter\nindirectement du code \u00e0 distance sont pr\u00e9sentes dans \u003cspan\nclass=\"textit\"\u003eSAP NetWeaver\u003c/span\u003e.\n",
"title": "Vuln\u00e9rabilit\u00e9s dans SAP NetWeaver",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletins de s\u00e9curit\u00e9 SAP",
"url": "https://service.sap.com/sap/support/notes/1585652"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.