Vulnerabilidad en SAP UI5 (CVE-2018-2424)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/06/2018
Última modificación:
17/06/2026
Descripción
SAP UI5 no validó las entradas de usuario antes de añadirlas a la estructura DOM. Esto podría conducir a que se añada al DOM código JavaScript malicioso proporcionado por el usuario que podría robar información del usuario. Los componentes de software afectados son: SAP Hana Database 1.00, 2.00; SAP UI5 1.00; SAP UI5 (Java) 7.30, 7.31, 7.40, 7,50; SAP UI 7.40, 7.50, 7.51, 7.52 y la versión 2.0 de SAP UI para SAP NetWeaver 7.00
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:hana_database:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:hana_database:2.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:2.0:*:*:*:*:netweaver_7.0:*:* | ||
| cpe:2.3:a:sap:ui:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.50:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.51:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui:7.52:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5:1.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:ui5_java:7.50:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/104459
- https://launchpad.support.sap.com/#/notes/2538856
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=495289255
- http://www.securityfocus.com/bid/104459
- https://launchpad.support.sap.com/#/notes/2538856
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=495289255



