Vulnerabilidad en SAP HANA (CVE-2017-16680)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
12/12/2017
Última modificación:
20/04/2025
Descripción
Dos potenciales inyecciones de registro de auditoria en los servicios de aplicación extendidos de SAP HANA 1.0, modelo avanzado: 1) Algunos extremos HTTP/REST del servicio del controlador no cuentan con validación de entradas de usuario. Esto podría permitir que atacantes sin privilegios falsifiquen líneas del registro de auditoría. Por consiguiente, podría entorpecerse o dirigirse erróneamente la interpretación de los archivos de registro de auditoría. 2) User Account y Authentication escriben registros de auditoría en syslog y, adicionalmente, escribe las mismas entradas de auditoría en un archivo de registro. A las entradas en el archivo de registro les falta el escape. Por lo tanto, podría entorpecerse o dirigirse erróneamente la interpretación de los archivos de registro de auditoría, aunque las entradas en syslog sean correctas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:hana_extended_application_services:1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102138
- https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017/
- https://launchpad.support.sap.com/#/notes/2522510
- http://www.securityfocus.com/bid/102138
- https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017/
- https://launchpad.support.sap.com/#/notes/2522510