Vulnerabilidad en la interfaz de Base de Datos de BW (CVE-2021-21468)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/01/2021
Última modificación:
01/10/2022
Descripción
La interfaz de Base de Datos de BW no lleva a cabo las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios que permite al usuario leer prácticamente cualquier tabla de la base de datos
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:business_warehouse:710:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:711:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:730:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:731:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:740:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:750:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:751:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:752:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:753:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:754:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:755:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:business_warehouse:782:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/167229/SAP-Application-Server-ABAP-ABAP-Platform-Code-Injection-SQL-Injection-Missing-Authorization.html
- http://seclists.org/fulldisclosure/2022/May/42
- https://launchpad.support.sap.com/#/notes/2986980
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476