ГлавнаяБаза уязвимостей БДУ → BDU:2022-01559
8.3критическая

BDU:2022-01559

Уязвимость программной платформы SAP S/4HANA и сервера контроля импорта DMIS Mobile Plug-In, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольные SQL-запросы
Опубликовано: 2022-03-28
Описание

Уязвимость программной платформы SAP S/4HANA и сервера контроля импорта DMIS Mobile Plug-In связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-запросы

Затрагиваемое ПО и версии
SAP S/4 HANA (103)SAP S/4 HANA (104)SAP S/4 HANA (102)SAP S/4 HANA (105)SAP S/4 HANA (SAPSCORE 125)SAP S/4 HANA (S4CORE 102)DMIS Mobile Plug-In (2011_1_620)DMIS Mobile Plug-In (2011_1_640)DMIS Mobile Plug-In (2011_1_700)DMIS Mobile Plug-In (2011_1_710)DMIS Mobile Plug-In (2011_1_730)DMIS Mobile Plug-In (710)DMIS Mobile Plug-In (2011_1_731)DMIS Mobile Plug-In (2011_1_752)DMIS Mobile Plug-In (2020)
Способ устранения

Использование рекомендаций:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806https://packetstormsecurity.com/files/165303/SAP-Netweaver-IUUC_RECON_RC_COUNT_TABLE_BIG-SQL-Injection.htmlhttps://packetstormsecurity.com/files/165304/SAP-Netweaver-IUUC_RECON_RC_COUNT_TABLE_BIG-ABAP-Code-Injection.htmlhttps://seclists.org/fulldisclosure/2021/Dec/35https://seclists.org/fulldisclosure/2021/Dec/36http://packetstormsecurity.com/files/165303/SAP-Netweaver-IUUC_RECON_RC_COUNT_TABLE_BIG-SQL-Injection.html
Проверьте безопасность своего сайта и почты → Полная проверка домена