Vulnerabilidad en el inicio de sesión en SAP NetWeaver AS Java (HTTP Service) (CVE-2020-6224)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
14/04/2020
Última modificación:
21/07/2021
Descripción
SAP NetWeaver AS Java (HTTP Service), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante con privilegios de administrador acceder a datos confidenciales del usuario, tales como contraseñas en archivos de rastreo, cuando el usuario inicia sesión y envía una petición con credenciales de inicio de sesión, conllevando a una Divulgación de Información.
Impacto
Puntuación base 3.x
6.20
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:netweaver_application_server_java:7.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.20:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página