PT-2021-7243 · Sap · Sap Mii
Nicolas Raus
·
Publicado
2021-03-09
·
Atualizado
2024-03-12
·
CVE-2021-21480
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
SAP MII (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor intercepte uma solicitação ao servidor, insira código JSP malicioso na solicitação e a encaminhe ao servidor. Quando um painel é aberto por usuários com, no mínimo, a função SAP XMII Developer, o conteúdo malicioso no painel é executado, levando à execução remota de código no servidor, o que permite a escalada de privilégios. O código JSP malicioso pode conter determinados comandos do sistema operacional, por meio dos quais um invasor pode ler arquivos confidenciais no servidor, modificar arquivos ou até mesmo excluir conteúdos no servidor, comprometendo assim a confidencialidade, a integridade e a disponibilidade do servidor que hospeda o aplicativo SAP MII.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sap Mii