PT-2021-14538 · Microsoft+1 · Office+2
Publicado
2021-01-12
·
Atualizado
2021-01-14
·
CVE-2021-21470
CVSS v3.1
4.4
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
SAP EPM Add-in para Microsoft Office versão 1010
SAP EPM Add-in para SAP Analysis Office versão 2.8
Descrição
A vulnerabilidade permite que um invasor autenticado com privilégios de usuário analise arquivos XML maliciosos, o que pode resultar em ataques baseados em XXE em aplicativos que aceitam arquivos de configuração XML controlados pelo invasor. Isso ocorre porque o serviço de registro não desativa entidades externas XML ao analisar arquivos de configuração. Uma exploração bem-sucedida teria impacto limitado na integridade e disponibilidade do aplicativo.
Recomendações
Para o SAP EPM Add-in para Microsoft Office versão 1010, atualize para uma versão que desative entidades externas XML no serviço de registro para evitar ataques baseados em XXE.
Para o SAP EPM Add-in for SAP Analysis Office versão 2.8, atualize para uma versão que desative entidades externas XML no serviço de registro para evitar ataques baseados em XXE.
Como solução alternativa temporária, considere restringir a análise de arquivos de configuração XML a fontes confiáveis até que um patch esteja disponível.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Office
Sap Epm Add-In For Microsoft Office
Sap Epm Add-In For Sap Analysis Office