PT-2020-16517 · Sap · Sap Hana Database
Publicado
2020-12-09
·
Atualizado
2020-12-11
·
CVE-2020-26834
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Banco de dados SAP HANA versão 2.0
Descrição
O problema decorre de uma validação incorreta do nome de usuário durante a autenticação de usuário baseada em token de portador SAML. Isso permite a manipulação de um token de portador SAML válido já existente para autenticar-se como um usuário com um nome idêntico ao nome de usuário truncado para o qual o token foi emitido.
Recomendações
Para o Banco de Dados SAP HANA versão 2.0, como solução temporária, considere restringir o uso da autenticação de usuário baseada em token de portador SAML até que uma correção esteja disponível. Além disso, certifique-se de que todos os nomes de usuário sejam únicos e não possam ser truncados para corresponder a outro usuário existente, a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Hana Database