PT-2021-6419 · Sap · Dmis Mobile Plug-In+3
Raschin Tavakoli
·
Publicado
2021-08-10
·
Atualizado
2022-04-01
·
CVE-2021-33701
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SAP S/4HANA anteriores à versão corrigida
Versões do DMIS Mobile Plug-In de 2011 1 620 a 2011 1 752, 2020
Versão 125 do SAPSCORE
Versões 102 a 105 do S4CORE
Descrição
O problema está relacionado à falta de proteção da estrutura da consulta SQL, permitindo que um invasor remoto execute consultas SQL arbitrárias. Isso pode levar a uma vulnerabilidade de injeção de SQL, afetando significativamente a confidencialidade, integridade e disponibilidade dos sistemas. Um invasor com acesso a uma conta altamente privilegiada pode executar uma consulta manipulada na ferramenta NDZT para obter acesso à conta de superusuário.
Recomendações
Para o SAP S/4HANA, atualize para uma versão que inclua a correção para este problema.
Para as versões 2011 1 620 a 2011 1 752 e 2020 do DMIS Mobile Plug-In, atualize para uma versão que inclua a correção para este problema.
Para o SAPSCORE versão 125, atualize para uma versão que inclua a correção para este problema.
Para as versões 102 a 105 do S4CORE, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso à ferramenta NDZT para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dmis Mobile Plug-In
S4Core
Sap S/4Hana
Sapscore