CVE-2020-6293

SAP NetWeaver (Gestão do Conhecimento), versões 7.30 a 7.50

A vulnerabilidade permite que um invasor não autenticado faça upload de um arquivo malicioso e acesse, modifique ou torne indisponíveis arquivos existentes. No entanto, o impacto é limitado aos próprios arquivos e é restringido por outras políticas, como listas de controle de acesso e restrições de tamanho de arquivos para upload. Isso está relacionado à ausência de restrições para uploads de arquivos no componente Gerenciamento do Conhecimento da plataforma SAP NetWeaver. Um invasor poderia explorar essa vulnerabilidade para obter acesso, modificar ou tornar indisponíveis arquivos existentes usando um arquivo especialmente criado.

Para as versões 7.30 a 7.50 do SAP NetWeaver (Gestão do Conhecimento), considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do recurso de upload de arquivos apenas aos usuários essenciais. Além disso, certifique-se de que as listas de controle de acesso e as restrições de tamanho de arquivos para upload estejam configuradas corretamente para reduzir o impacto potencial. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.