Vulnerabilidad en SAP UI5 (CVE-2018-2424)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/06/2018
Última modificación:
09/10/2019
Descripción
SAP UI5 no validó las entradas de usuario antes de añadirlas a la estructura DOM. Esto podría conducir a que se añada al DOM código JavaScript malicioso proporcionado por el usuario que podría robar información del usuario. Los componentes de software afectados son: SAP Hana Database 1.00, 2.00; SAP UI5 1.00; SAP UI5 (Java) 7.30, 7.31, 7.40, 7,50; SAP UI 7.40, 7.50, 7.51, 7.52 y la versión 2.0 de SAP UI para SAP NetWeaver 7.00
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:hana_database:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:hana_database:2.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:2.0:*:*:*:*:netweaver_7.0:*:* | ||
| cpe:2.3:a:sap:ui:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.50:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.51:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.52:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.50:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página