PT-2020-18986 · Sap · Sap Host Agent
Publicado
2020-02-12
·
Atualizado
2020-02-20
·
CVE-2020-6183
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
SAP Host Agent versão 7.21
Descrição
A vulnerabilidade permite que um usuário sem privilégios leia ou grave na memória compartilhada enviando uma solicitação ao processo principal SAPOSCOL. Isso pode fazer com que o usuário receba respostas contendo dados lidos com privilégios de root, como o tamanho de qualquer diretório, hardware do sistema e detalhes do sistema operacional, devido à falta de verificação de autorização.
Recomendações
Para o SAP Host Agent versão 7.21, considere restringir o acesso à memória compartilhada para impedir leituras ou gravações não autorizadas até que um patch esteja disponível. Como solução alternativa temporária, limite as informações que podem ser acessadas por meio do processo SAPOSCOL para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Host Agent