PT-2021-17554 · Sap · Sap Commerce
Publicado
2021-05-11
·
Atualizado
2022-07-12
·
CVE-2021-27619
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
SAP Commerce (Backoffice Search) versões 1808, 1811, 1905, 2005, 2011
Descrição
A vulnerabilidade permite que um usuário com privilégios limitados pesquise atributos que não deveriam ser exibidos a ele. Embora os resultados da pesquisa sejam mascarados, o usuário pode inserir caracteres um por um de forma iterativa para pesquisar e determinar o valor do atributo mascarado, levando à divulgação de informações.
Recomendações
Para as versões 1808, 1811, 1905, 2005, 2011, considere restringir o acesso à funcionalidade de pesquisa para usuários com privilégios limitados até que uma correção esteja disponível.
Como solução alternativa temporária, limite a capacidade de inserir caracteres iterativamente na função de pesquisa para minimizar o risco de divulgação de informações.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sap Commerce