CVE-2020-6284

SAP NetWeaver (Gestão do Conhecimento) versões 7.30, 7.31, 7.40, 7.50

A vulnerabilidade permite a execução automática do conteúdo de um script armazenado em um arquivo devido a uma filtragem inadequada, o que pode ocorrer com os privilégios do usuário que está acessando o sistema. Se o usuário que acessa tiver privilégios administrativos, a execução do conteúdo do script poderá resultar no comprometimento total da confidencialidade, integridade e disponibilidade do sistema, levando a um Stored Cross Site Scripting. A vulnerabilidade está relacionada à falha em neutralizar tags HTML relacionadas a scripts em uma página da web, o que pode permitir que um invasor remoto execute ataques de cross-site scripting.

Para as versões 7.30, 7.31, 7.40 e 7.50 do SAP NetWeaver (Knowledge Management), considere desativar a execução do conteúdo de scripts em arquivos armazenados até que um patch esteja disponível.

Restrinja o acesso a privilégios administrativos para minimizar o risco de exploração.

Evite usar o componente Knowledge Management vulnerável até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.