PT-2022-9050 · Sap · Sap Businessobjects Business Intelligence Platform
Publicado
2022-06-06
·
Atualizado
2022-06-14
·
CVE-2020-6220
CVSS v3.1
4.7
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
SAP Business Objects Business Intelligence Platform, versões 4.1 e 4.2
Descrição
O problema está relacionado à codificação insuficiente de entradas controladas pelo usuário no BI Launchpad e no CMC, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS). A exploração só é possível quando o
bttoken na sessão da vítima está ativo.Recomendações
Para as versões 4.1 e 4.2, considere restringir o acesso às entradas controladas pelo usuário até que um patch esteja disponível.
Como solução alternativa temporária, considere implementar codificação adicional para entradas controladas pelo usuário a fim de minimizar o risco de exploração.
Restrinja o acesso ao
bttoken na sessão da vítima para impedir a exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Businessobjects Business Intelligence Platform