CVE-2016-2386
CVE-2016-2386
En resumen
Una falla en el servidor UDDI de SAP NetWeaver permite que atacantes inyecten comandos SQL maliciosos sin autenticación, posibilitando acceso completo a la base de datos y todos los datos sensibles almacenados.
Detalle técnico
Vulnerabilidad de inyección SQL en el componente UDDI del motor SAP NetWeaver J2EE versión 7.40, explotable a través de vectores de entrada no especificados, permitiendo ejecución remota de comandos arbitrarios en el contexto de la base de datos. El ataque requiere acceso de red al servicio UDDI; la explotación exitosa resulta en compromiso total de la base de datos incluyendo robo y modificación de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
SQL injection vulnerability in the UDDI server in SAP NetWeaver J2EE Engine 7.40 allows remote attackers to execute arbitrary SQL commands via unspecified vectors, aka SAP Security Note 2101079.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 6
githubgithub.com/murataydemir/CVE-2016-2386★ 2cve_referencepacketstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlno verificadocve_referencewww.exploit-db.com/exploits/39840/no verificadocve_referencewww.exploit-db.com/exploits/43495/no verificadoexploitdbwww.exploit-db.com/exploits/43495no verificadoexploitdbwww.exploit-db.com/exploits/39840no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlhttp://seclists.org/fulldisclosure/2016/May/56https://erpscan.io/advisories/erpscan-16-011-sap-netweaver-7-4-sql-injection-vulnerability/https://erpscan.io/press-center/blog/sap-security-notes-february-2016-review/https://github.com/vah13/SAP_exploithttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-2386https://www.exploit-db.com/exploits/39840/https://www.exploit-db.com/exploits/43495/