CVE-2021-37531

SAP NetWeaver Knowledge Management XML Forms versões 7.10, 7.11, 7.30, 7.31, 7.40, 7.50

A vulnerabilidade permite que um invasor autenticado sem privilégios administrativos crie um arquivo de folha de estilo XSL malicioso contendo um script com comandos no nível do sistema operacional. O invasor pode copiar esse arquivo para um local acessível pelo sistema e, em seguida, criar um arquivo que acione o mecanismo XSLT para executar o script contido no arquivo XSL malicioso. Isso pode resultar em um comprometimento total da confidencialidade, integridade e disponibilidade do sistema.

Para as versões 7.10, 7.11, 7.30, 7.31, 7.40 e 7.50 do SAP NetWeaver Knowledge Management XML Forms, considere desativar o mecanismo XSLT ou restringir o acesso a ele até que um patch esteja disponível.

Como solução alternativa temporária, evite usar a funcionalidade XSLT nas versões afetadas para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.