正文

SAP Fiori输入验证错误漏洞

admin
admin V管理员 /0 评论 /15 阅读
0422
此篇文章发布距今已超过1101天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-6266

利用情况

暂无

补丁情况

N/A

披露时间

2020-06-11
漏洞描述
SAP Fiori是德国思爱普(SAP)公司的一套为SAP应用程序提供用户体验(UX)的设计系统,它为设计人员和开发人员提供了一套工具和指南,能够快速地开发适用于任何平台的应用,为创建者和用户提供一致、创新的体验。 SAP Fiori(SAP S/4HANA)中存在安全漏洞,该漏洞源于程序没有充分验证URL。攻击者可利用该漏洞将用户重定向到恶意的网站。以下产品及版本受到影响:SAP Fiori 100版本,200版本,300版本,400版本。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775
参考链接
https://launchpad.support.sap.com/#/notes/2911687
https://launchpad.support.sap.com/#/notes/2911704
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sap fiori 200 -
运行在以下环境
应用 sap fiori 300 -
运行在以下环境
应用 sap fiori 400 -
运行在以下环境
应用 sap fiori 500 -
CVSS3评分 5.4
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 已更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-601 指向未可信站点的URL重定向(开放重定向)