PT-2021-4349 · Sap · Sap Netweaver
Mikhail Klyuchnikov
·
Publicado
2021-09-14
·
Atualizado
2025-03-13
·
CVE-2021-38163
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SAP NetWeaver (Visual Composer 7.0 RT) versões 7.30, 7.31, 7.40, 7.50
Descrição
O problema está relacionado a uma vulnerabilidade de upload de arquivos sem restrições na plataforma SAP NetWeaver, especificamente no componente Visual Composer 7.0 RT. Essa vulnerabilidade permite que um invasor, autenticado como usuário não administrativo, envie um arquivo malicioso pela rede e acione seu processamento. O arquivo malicioso pode executar comandos do sistema operacional com os privilégios do processo do Java Server, permitindo que o invasor leia ou modifique qualquer informação no servidor ou desligue o servidor, tornando-o indisponível.
Recomendações
Para as versões 7.30, 7.31, 7.40 e 7.50 do SAP NetWeaver (Visual Composer 7.0 RT), atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.
Restrinja o acesso ao processo do Java Server para impedir a execução de comandos maliciosos.
Exploit
Correção
Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sap Netweaver