Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las entradas controladas por el usuario en Email Management en SAP Customer Relationship Management. (CVE-2019-0368)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
08/10/2019
Última modificación:
17/10/2019

Descripción

SAP Customer Relationship Management (Email Management), versiones: S4CRM anteriores a 1.0 y 2.0, BBPCRM anteriores a 7.0, 7.01, 7.02, 7.12, 7.13 y 7.14, no codifica suficientemente las entradas controladas por el usuario dentro del cliente de correo, resultando en una vulnerabilidad de tipo Cross-Site Scripting.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.0:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.01:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.02:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.12:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.13:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_bbpcrm:7.14:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_s4crm:1.0:*:*:*:*:*:*:*
cpe:2.3:a:sap:customer_relationship_management_s4crm:2.0:*:*:*:*:*:*:*