Gonzalo Roisman

**Nome do software vulnerável e versões afetadas** SAP Solution Manager 7.2 (Monitoramento da Experiência do Usuário) versão 7.2 **Descrição** O problema decorre de um controle de acesso inadequado, permitindo que um invasor de rede autenticado como usuário comum execute operações restritas a administradores. Isso inclui alterar a configuração do Monitoramento da Experiência do Usuário, obter detalhes sobre os agentes do SAP Solution Manager configurados e implantar um script malicioso do Monitoramento da Experiência do Usuário. **Recomendações** Para o SAP Solution Manager 7.2 (Monitoramento da Experiência do Usuário) versão 7.2, considere restringir o acesso à configuração do Monitoramento da Experiência do Usuário e aos detalhes do agente para minimizar o risco de exploração. Como solução alternativa temporária, limite o uso de operações que possam ser utilizadas para implantar scripts até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SAP Solution Manager 7.2 (Monitoramento da Experiência do Usuário) versão 7.2 **Descrição** A vulnerabilidade permite que um usuário autenticado envie um script malicioso capaz de explorar uma vulnerabilidade de traversal de caminho existente. Isso pode comprometer a confidencialidade ao expor elementos do sistema de arquivos, comprometer parcialmente a integridade ao permitir a modificação de algumas configurações e comprometer parcialmente a disponibilidade ao tornar certos serviços indisponíveis. **Recomendações** Para o SAP Solution Manager 7.2 (Monitoramento da Experiência do Usuário) versão 7.2, considere restringir o upload de scripts para impedir a exploração da vulnerabilidade de traversal de caminho até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso a configurações e serviços confidenciais para minimizar o risco de modificação ou indisponibilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.