ГлавнаяБаза уязвимостей БДУ → BDU:2017-02190
6.6средняя

BDU:2017-02190

Уязвимость компонента Log Viewer программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю обойти каталог и выполнить произвольный код в контексте сервера
Опубликовано: 2017-09-28
Описание

Уязвимость компонента Log Viewer программной интеграционной платформы SAP NetWeaver существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом (веб-приложение распознает символы «.» and «/» как часть корректного пути файла). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти каталог и выполнить произвольный код в контексте сервера, что может привести к компрометации системы, чрезмерной нагрузке на файловую систему или базу данных, распространению атаки на серверные системы, а также к подмене данных (defacement) при помощи специально сформированного архива, содержащего файлы со специальными символами в названии, которые загружаются в произвольную локацию файловой системы сервера

Затрагиваемое ПО и версии
SAP NetWeaver (7)
Способ устранения

Использование рекомендаций производителя:
SAP Security Note 2370876

Оценка CVSS
Балл6.6 — средняя опасность
Источники и патчи
http://www.securitylab.ru/lab/PT-2016-18
Проверьте безопасность своего сайта и почты → Полная проверка домена