PT-2021-17538 · Sap · Sap Commerce
Publicado
2021-04-13
·
Atualizado
2021-04-21
·
CVE-2021-27602
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SAP Commerce versões 1808, 1811, 1905, 2005, 2011
Descrição
O aplicativo Backoffice do SAP Commerce permite que usuários autorizados criem regras de origem que são convertidas em regras Drools quando publicadas em determinados módulos dentro do aplicativo. Um invasor com essa autorização pode injetar código malicioso nas regras de origem, permitindo-lhe executar código remotamente e comprometer a confidencialidade, integridade e disponibilidade do aplicativo.
Recomendações
Para as versões 1808, 1811, 1905, 2005, 2011, considere restringir o acesso ao aplicativo Backoffice e limitar a capacidade de criar regras de origem para minimizar o risco de exploração.
Como solução alternativa temporária, considere desativar a publicação de regras de origem para determinados módulos dentro do aplicativo até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Commerce