PT-2021-14515 · Sap · Sap Businessobjects Business Intelligence Platform
Publicado
2021-01-12
·
Atualizado
2021-03-04
·
CVE-2021-21447
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plataforma SAP BusinessObjects Business Intelligence, versões 410 e 420
Descrição
A vulnerabilidade permite que um invasor autenticado injete código JavaScript malicioso no campo de entrada de valor personalizado de um controle de entrada. Esse código pode ser executado por um usuário que visualize o conteúdo relevante da aplicação, levando a um ataque de Stored Cross-Site Scripting.
Recomendações
Para as versões 410 e 420 da plataforma SAP BusinessObjects Business Intelligence, considere desativar o campo de entrada de valor personalizado de um controle de entrada como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao controle de entrada para minimizar o risco de exploração. Evite usar o campo de entrada de valor personalizado no conteúdo do aplicativo afetado até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Businessobjects Business Intelligence Platform