Ece Örsel

**Nome do software vulnerável e versões afetadas** SAP J2EE Engine/7.01/Portal/EPP versão 7.01 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos injetem scripts web arbitrários por meio do parâmetro `wsdlLib` em “/ctcprotocol/Protocol”. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o SAP J2EE Engine/7.01/Portal/EPP versão 7.01, como o produto não é mais suportado, considere desativar o endpoint `/ctcprotocol/Protocol` ou restringir o acesso a ele para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SAP J2EE Engine versão 7.01 **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) permite que invasores remotos injetem scripts web arbitrários por meio do parâmetro `wsdlPath` na rota “/ctcprotocol/Protocol”. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o SAP J2EE Engine versão 7.01, como solução temporária, considere restringir o acesso ao endpoint “/ctcprotocol/Protocol” para minimizar o risco de exploração. Evite usar o parâmetro `wsdlPath` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.