SAP CRM Java Administration Console 跨站脚本攻击

CVE编号

CVE-2017-15294

利用情况

暂无

补丁情况

N/A

披露时间

2017-10-17

漏洞描述

SAP Customer Relationship Management（CRM）是德国思爱普（SAP）公司的一套客户关系管理解决方案。该方案包括销售管理、营销管理、客户服务系统等模块。Java administration console是其中的一个Java管理控制台。
SAP CRM中的Java administration console存在跨站脚本漏洞。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://www.sap.com

参考链接
http://www.securityfocus.com/bid/99532
https://blogs.sap.com/2017/07/11/sap-security-patch-day-july-2017/
https://erpscan.io/advisories/erpscan-17-035-xss-crm-administration-console-java/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sap	customer_relationship_management	700	-
	运行在以下环境
	应用	sap	customer_relationship_management	701	-
	运行在以下环境
	应用	sap	customer_relationship_management	702	-
	运行在以下环境
	应用	sap	customer_relationship_management	730	-
	运行在以下环境
	应用	sap	customer_relationship_management	731	-
	运行在以下环境
	应用	sap	customer_relationship_management	732	-
	运行在以下环境
	应用	sap	customer_relationship_management	733	-
	运行在以下环境
	应用	sap	customer_relationship_management	754	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

正文

SAP CRM Java Administration Console 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM Tealeaf Customer Experience 至 9.0.2 Replay Server File 路径遍历漏洞

IBM Spectrum Protect up to 5.5/6.3.2.4/6.4.3.0/7.1.2 CAD Client Crash 拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]