Vulnerabilidad en la interfaz sql en SAP HANA DB (CVE-2016-6145)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
05/08/2016
Última modificación:
12/04/2025
Descripción
La interfaz SQL en SAP HANA DB 1.00.091.00.1418659308 muestra diferentes mensajes de error para intentos de inicio de sesión fallidos dependiendo de si existe el nombre de usuario y está bloqueado cuando la opción detailed_error_on_connect no está apoyada o está configurada como "falsa", lo que permite a atacantes remotos enumerar usuarios de bases de datos a través una serie de intentos de inicio de sesión, vulnerabilidad también conocida como SAP Security Note 2216869.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:hana_db:1.00.091.00.1418659308:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/138444/SAP-HANA-DB-1.00.091.00.1418659308-Information-Disclosure.html
- http://seclists.org/fulldisclosure/2016/Aug/92
- http://www.securityfocus.com/bid/92346
- https://www.onapsis.com/blog/onapsis-publishes-15-advisories-sap-hana-and-building-components
- https://www.onapsis.com/research/security-advisories/sap-hana-user-information-disclosure
- http://packetstormsecurity.com/files/138444/SAP-HANA-DB-1.00.091.00.1418659308-Information-Disclosure.html
- http://seclists.org/fulldisclosure/2016/Aug/92
- http://www.securityfocus.com/bid/92346
- https://www.onapsis.com/blog/onapsis-publishes-15-advisories-sap-hana-and-building-components
- https://www.onapsis.com/research/security-advisories/sap-hana-user-information-disclosure