CVE-2020-26825

SAP Fiori Launchpad (aplicativo do bloco de notícias) versões 750 a 755

A vulnerabilidade permite que um invasor não autorizado envie código malicioso a outro usuário final (vítima) por meio do aplicativo do bloco de notícias do SAP Fiori Launchpad. Isso ocorre porque o aplicativo News tile não codifica suficientemente as entradas controladas pelo usuário, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS) refletido. As informações mantidas no navegador da vítima podem ser lidas, modificadas e enviadas ao invasor. No entanto, o código malicioso não causa impacto significativo no navegador da vítima, e a vítima pode facilmente fechar a aba do navegador para interromper a ação.

Para as versões 750 a 755, considere desativar o aplicativo do bloco “Notícias” até que um patch esteja disponível para impedir a exploração da vulnerabilidade de Cross-Site Scripting (XSS) refletido. Restrinja o acesso ao bloco “Notícias” para minimizar o risco de exploração. Evite usar entradas controladas pelo usuário no aplicativo do bloco “Notícias” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.