Vulnerabilidad en SAP E-Commerce (Business-to-Consumer application) (CVE-2019-0308)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/06/2019
Última modificación:
21/07/2021
Descripción
Un atacante identificado en SAP E-Commerce (Business-to-Consumer application) versiones 7.3, 7.31, 7.32, 7.33, 7.54 pueden cambiar el precio del producto a cero y además pagar inyectando un código HTML en la aplicación que será ejecutada en cualquier lugar que está la víctima se conecte en la aplicación o incluso en una máquina diferente, lo que conlleva a un código de inyección
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:e-commerce:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:e-commerce:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:e-commerce:7.32:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:e-commerce:7.33:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:e-commerce:7.54:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página