Vulnerabilidad en SAP CommonCryptoLib (CVE-2023-40309)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/09/2023
Última modificación:
28/09/2024
Descripción
SAP CommonCryptoLib no realiza las comprobaciones de autenticación necesarias, lo que puede dar como resultado comprobaciones de autorización faltantes o incorrectas para un usuario autenticado, lo que resulta en una escalada de privilegios. Según la aplicación y el nivel de privilegios adquiridos, un atacante podría abusar de la funcionalidad restringida a un grupo de usuarios concreto, así como leer, modificar o eliminar datos restringidos.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sap:commoncryptolib:8.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:content_server:6.50:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:content_server:7.53:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:content_server:7.54:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:extended_application_services_and_runtime:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:hana_database:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:host_agent:722:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:7.22ext:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.22:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.53:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.54:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.77:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.85:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.89:*:*:*:*:*:*:* | ||
| cpe:2.3:a:sap:netweaver_application_server_abap:kernel_7.91:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página