CVE-2018-2380
CVE-2018-2380
En resumen
SAP CRM no valida correctamente las rutas de archivo ingresadas por usuarios, permitiendo que atacantes accedan a archivos fuera del directorio previsto usando caracteres especiales como '../' para navegar hacia carpetas superiores.
Detalle técnico
Vulnerabilidad de path traversal en SAP CRM (versiones 7.01 a 7.54) debido a validación insuficiente de información de ruta proporcionada por usuarios. Los atacantes pueden inyectar secuencias de traversal de directorio (como '../') que se transfieren sin sanitización a APIs del sistema de archivos, permitiendo acceso no autorizado a archivos fuera del alcance previsto. Requiere acceso o interacción con la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
SAP CRM, 7.01, 7.02,7.30, 7.31, 7.33, 7.54, allows an attacker to exploit insufficient validation of path information provided by users, thus characters representing "traverse to parent directory" are passed through to the file APIs.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
Productos afectados
SAP SE · SAP CRMPoCs públicas encontradas — 3
githubgithub.com/erpscanteam/CVE-2018-2380★ 52cve_referencewww.exploit-db.com/exploits/44292/no verificadoexploitdbwww.exploit-db.com/exploits/44292no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018/https://github.com/erpscanteam/CVE-2018-2380https://launchpad.support.sap.com/#/notes/2547431https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-2380https://www.exploit-db.com/exploits/44292/http://www.securityfocus.com/bid/103001