CVE-2024-47593

Nome do software vulnerável e versões afetadas:

SAP NetWeaver Application Server ABAP (versões afetadas não especificadas)

SAP NetWeaver Java Application Server (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite que um invasor não autenticado com acesso à rede leia arquivos do servidor que, de outra forma, estariam restritos. Esse ataque só é possível se um Web Dispatcher ou algum tipo de servidor proxy estiver em uso e o arquivo em questão tiver sido previamente aberto ou baixado em um aplicativo baseado na tecnologia SAP GUI para HTML. A vulnerabilidade está relacionada ao uso incorreto de permissões padrão no SAP NetWeaver Java Application Server. A exploração da vulnerabilidade pode permitir que um invasor remoto divulgue informações protegidas. Isso não comprometerá a integridade ou a disponibilidade do aplicativo.

Recomendações:

Para o SAP NetWeaver Application Server ABAP, considere restringir o acesso a arquivos e diretórios confidenciais até que um patch esteja disponível.

Para o SAP NetWeaver Java Application Server, revise e corrija as permissões padrão para impedir o acesso não autorizado a informações protegidas.

Como solução alternativa temporária, considere desativar o uso do Web Dispatcher ou do servidor proxy para aplicativos confidenciais até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.