Vulnerabilidad en el envío de consultas en SAP NetWeaver Development Infrastructure Component Build Service (CVE-2021-33690)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
15/09/2021
Última modificación:
28/09/2021
Descripción
Se ha detectado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en SAP NetWeaver Development Infrastructure Component Build Service versiones - 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, SAP NetWeaver Development Infrastructure Component Build Service permite a un actor de la amenaza que tenga acceso al servidor llevar a cabo ataques proxy en el servidor mediante el envío de consultas diseñadas. Debido a esto, el actor de la amenaza podría comprometer completamente los datos confidenciales que residen en el servidor e impactar en su disponibilidad. Nota: El impacto de esta vulnerabilidad depende de si SAP NetWeaver Development Infrastructure (NWDI) se ejecuta en la intranet o en Internet. La puntuación CVSS refleja el impacto considerando el peor de los casos en que se ejecuta en Internet
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.20:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.40:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_development_infrastructure:7.50:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página