Vulnerabilidad en productos SAP (CVE-2017-16682)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
12/12/2017
Última modificación:
20/04/2025
Descripción
SAP NetWeaver Internet Transaction Server (ITS), SAP Basis desde la versión 7.00 hasta la 7.02, 7.30, 7.31 y 7.40 y desde la versión 7.50 hasta la 7.52, permite que un atacante con credenciales de administrador inyecte código que puede ser ejecutado por la aplicación y así controlar el comportamiento de la aplicación.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:netweaver_internet_transaction_server:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_application_software_integrated_solution:*:*:*:*:*:*:*:* | 7.00 (incluyendo) | 7.02 (incluyendo) |
| cpe:2.3:a:sap:business_application_software_integrated_solution:*:*:*:*:*:*:*:* | 7.50 (incluyendo) | 7.52 (incluyendo) |
| cpe:2.3:a:sap:business_application_software_integrated_solution:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_application_software_integrated_solution:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_application_software_integrated_solution:7.40:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102143
- https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017/
- https://launchpad.support.sap.com/#/notes/2526781
- http://www.securityfocus.com/bid/102143
- https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017/
- https://launchpad.support.sap.com/#/notes/2526781