Vulnerabilidad en los archivos de configuración XML en SAP EPM Add-in para Microsoft Office y SAP EPM Add-in para SAP Analysis Office (CVE-2021-21470)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
12/01/2021
Última modificación:
14/01/2021
Descripción
SAP EPM Add-in para Microsoft Office, versión - 1010 y SAP EPM Add-in para SAP Analysis Office, versión - 2.8, permiten a un atacante autenticado con privilegios de usuario analizar archivos XML maliciosos que podrían resultar en ataques basados en XXE en aplicaciones que aceptan archivos de configuración XML controlados por atacantes. Esto ocurre porque el servicio de registro no deshabilita las entidades externas XML al analizar los archivos de configuración y una explotación con éxito podría resultar en un impacto limitado en la integridad y disponibilidad de la aplicación
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:enterprise_performance_management:2.8:*:*:*:*:sap_analysis_office:*:* | ||
| cpe:2.3:a:sap:enterprise_performance_management:1010:*:*:*:*:microsoft_office:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página