CVE-2022-31590

SAP PowerDesigner Proxy versão 16.7

O problema está relacionado à falta de citação adequada em elementos de consulta SQL ou caminhos de pesquisa no serviço SAP PowerDesigner Proxy. Um invasor com privilégios baixos e acesso local pode explorar essa vulnerabilidade para criar um arquivo de programa no caminho raiz do disco do sistema, que poderia então ser executado com privilégios elevados durante a inicialização do aplicativo ou a reinicialização do sistema. Isso poderia comprometer a confidencialidade, a integridade e a disponibilidade do sistema.

Para o SAP PowerDesigner Proxy versão 16.7, considere restringir o acesso local ao sistema e limitar a capacidade de gravar ou criar arquivos no caminho raiz do disco do sistema como medida de mitigação temporária. Certifique-se de que todos os usuários com acesso ao sistema tenham o mínimo de privilégios necessários para realizar suas tarefas e monitore o sistema quanto a quaisquer criações ou modificações não autorizadas de arquivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.