PT-2022-13747 · Sap · Sap Information System

Mrempy

Publicado

2022-04-06

Atualizado

2023-07-24

CVE-2022-1248

CVSS v2.0

7.5

Alta

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:P

Nome do software vulnerável e versões afetadas

SAP Information System versão 1.0

Descrição

Foi identificada uma falha crítica que permite que um invasor não autenticado crie uma nova conta de administrador para a aplicação web por meio de uma simples solicitação POST ao arquivo “add admin.php”, localizado no endpoint “/SAP Information System/controllers/”.

Recomendações

Para o SAP Information System versão 1.0, restrinja o acesso ao endpoint “/SAP Information System/controllers/add admin.php” para impedir a criação não autorizada de contas de administrador até que uma correção esteja disponível.

Exploit

Correção

Missing Authentication

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-287

Identificadores relacionados

CVE-2022-1248

Produtos afetados

Sap Information System

PT-2022-13747 · Sap · Sap Information System

CVE-2022-1248

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4