Vulnerabilidad en SAP Transportation Management (Collaboration Portal) (CVE-2024-37171)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
09/07/2024
Última modificación:
09/09/2024
Descripción
SAP Transportation Management (Collaboration Portal) permite a un atacante con privilegios no administrativos enviar una solicitud manipulada desde una aplicación web vulnerable. Esto hará que el controlador de la aplicación envíe una solicitud a un servicio no deseado, lo que puede revelar información sobre ese servicio. La información obtenida podría usarse para apuntar a sistemas internos detrás de firewalls que normalmente son inaccesibles para un atacante desde la red externa, lo que resultaría en una vulnerabilidad de falsificación de solicitudes del lado del servidor. No hay ningún efecto sobre la integridad o disponibilidad de la aplicación.
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:saptmui:140:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:saptmui:150:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:saptmui:160:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:saptmui:170:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:transportation_management:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página