PT-2022-4933 · Sap · Sap Businessobjects Business Intelligence Platform
Publicado
2022-06-02
·
Atualizado
2022-07-20
·
CVE-2022-32246
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
SAP Business Objects Business Intelligence Platform (aplicativo Visual Difference) versões 420, 430
Descrição
A vulnerabilidade permite que um invasor autenticado com acesso ao console de administração de BI envie consultas maliciosas e extraia dados do backend SQL, causando um impacto potencialmente limitado na confidencialidade e integridade do aplicativo. Isso se deve à falta de medidas para neutralizar elementos especiais usados em consultas SQL. Um invasor pode explorar essa vulnerabilidade enviando uma consulta SQL especialmente criada para divulgar informações protegidas.
Recomendações
Para as versões 420 e 430, considere restringir o acesso ao console de administração de BI e limitar a capacidade de enviar consultas maliciosas ao backend SQL até que uma correção esteja disponível. Como solução alternativa temporária, desativar o componente
Visual Difference Application pode ajudar a minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Businessobjects Business Intelligence Platform