PT-2020-16500 · Sap · Sap Fiori Launchpad
Publicado
2020-11-10
·
Atualizado
2020-11-24
·
CVE-2020-26815
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
SAP Fiori Launchpad (aplicativo News tile) versões 750, 751, 752, 753, 754, 755
Descrição
A vulnerabilidade permite que um invasor não autorizado envie uma solicitação maliciosa a um aplicativo web vulnerável, normalmente usado para atacar sistemas internos protegidos por firewalls que, em condições normais, são inacessíveis a partir da rede externa. Isso resulta na recuperação de recursos sensíveis ou confidenciais que, de outra forma, seriam restritos apenas para uso interno, levando a uma vulnerabilidade de falsificação de solicitação do lado do servidor (Server-Side Request Forgery).
Recomendações
Para as versões 750, 751, 752, 753, 754, 755, considere restringir o acesso ao aplicativo web vulnerável para minimizar o risco de exploração.
Como solução alternativa temporária, considere desativar o aplicativo News Tile até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Fiori Launchpad