Nicolas Raus

**Nome do software vulnerável e versões afetadas** SAP MII (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor intercepte uma solicitação ao servidor, insira código JSP malicioso na solicitação e a encaminhe ao servidor. Quando um painel é aberto por usuários com, no mínimo, a função SAP XMII Developer, o conteúdo malicioso no painel é executado, levando à execução remota de código no servidor, o que permite a escalada de privilégios. O código JSP malicioso pode conter determinados comandos do sistema operacional, por meio dos quais um invasor pode ler arquivos confidenciais no servidor, modificar arquivos ou até mesmo excluir conteúdos no servidor, comprometendo assim a confidencialidade, a integridade e a disponibilidade do servidor que hospeda o aplicativo SAP MII. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.