PT-2020-3614 · Sap+8 · Sap Netweaver+9
Alejandro Cabrera Aldaya
+6
·
Publicado
2020-06-02
·
Atualizado
2024-12-12
·
CVE-2020-6829
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 80
Versões do Firefox para Android anteriores à 80
SAP NetWeaver (versões afetadas não especificadas)
Descrição
O problema está relacionado ao uso do algoritmo de multiplicação de pontos wNAF durante a multiplicação escalar de pontos EC, o que resultou no vazamento de informações parciais sobre o nonce utilizado durante a geração da assinatura. Isso permitiu que um invasor calculasse a chave privada a partir de um traço eletromagnético de algumas gerações de assinatura. Além disso, há uma vulnerabilidade no componente de Gestão do Conhecimento da plataforma SAP NetWeaver relacionada à falha em neutralizar tags HTML relacionadas a scripts em uma página da web, o que poderia permitir que um invasor remoto realizasse ataques de cross-site scripting.
Recomendações
Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior.
Para versões do Firefox para Android anteriores à 80, atualize para a versão 80 ou posterior.
Para o SAP NetWeaver, restrinja o acesso ao componente de Gerenciamento de Conhecimento vulnerável para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para a vulnerabilidade do SAP NetWeaver.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Firefox
Firefox For Android
Linuxmint
Red Hat
Rocky Linux
Sap Netweaver
Ubuntu