PT-2021-20250 · Sap · Sap Contact Center
Publicado
2021-09-14
·
Atualizado
2021-09-24
·
CVE-2021-33672
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Componente Communication Desktop do SAP Contact Center, versão 700
Descrição:
O problema decorre da falta de codificação no componente Communication Desktop, permitindo que um invasor envie scripts maliciosos por meio de mensagens de chat. Quando um destinatário aceita a mensagem, o script é executado em seu ambiente. O uso de ActiveX pelo aplicativo permite que o invasor execute comandos no nível do sistema operacional, comprometendo potencialmente a confidencialidade e a integridade do destinatário e afetando temporariamente sua disponibilidade.
Recomendações:
Para a versão 700, considere desativar o uso do ActiveX no aplicativo como uma solução temporária para minimizar o risco de exploração. Além disso, restrinja a execução de scripts em mensagens de chat para impedir que comandos no nível do sistema operacional sejam executados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Contact Center