Vulnerabilidad en SAP BusinessObjects Business Intelligence 420 (CVE-2023-0015)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

10/01/2023

Última modificación:

13/01/2023

Descripción

En la plataforma SAP BusinessObjects Business Intelligence (interfaz de usuario de Web Intelligence), versión 420, algunas llamadas devuelven json con un tipo de contenido incorrecto en el encabezado de la respuesta. Como resultado, una aplicación personalizada que llama directamente al jsp de Web Intelligence DHTML puede ser vulnerable a ataques XSS. Si se explota con éxito, un atacante puede causar un impacto limitado en la confidencialidad y la integridad de la aplicación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno