PT-2020-19001 · Google+1 · Angularjs+1
Publicado
2020-03-10
·
Atualizado
2020-03-11
·
CVE-2020-6200
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
SAP Commerce (Extensão SmartEdit) versões 6.6, 6.7, 1808, 1811
Descrição
O problema está relacionado à injeção de modelos AngularJS no lado do cliente, uma variante do Cross-Site-Scripting (XSS) que explora os recursos de modelagem do framework Angular.
Recomendações
Para as versões 6.6, 6.7, 1808, 1811, considere desativar a funcionalidade de injeção de modelos do AngularJS até que um patch esteja disponível.
Restrinja o acesso aos recursos de modelagem da estrutura Angular para minimizar o risco de exploração.
Evite usar a injeção de modelos do AngularJS vulnerável no SAP Commerce (Extensão SmartEdit) afetado até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Angularjs
Sap Commerce