CVE-2018-2459

EPSS 1.7%

En resumen

Un defecto en la función Offline OData de SAP Mobile Platform versión 3.0 permite que los usuarios ocasionalmente reciban datos de otros usuarios al usar tokens delta (una característica habilitada por defecto). Esta es una violación de privacidad que expone información sensible a usuarios no autorizados.

Detalle técnico

El mecanismo de token delta de Offline OData en SAP Mobile Platform 3.0 no logra aislar adecuadamente los datos del usuario durante operaciones de sincronización. Un usuario autenticado con acceso legítimo a la aplicación puede recibir registros de datos asignados a otros usuarios debido a un manejo inadecuado de tokens o aislamiento de caché. La vulnerabilidad afecta implementaciones que utilizan la configuración de token delta predeterminada e impacta la confidencialidad de los datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Users of an SAP Mobile Platform (version 3.0) Offline OData application, which uses Offline OData-supplied delta tokens (which is on by default), occasionally receive some data values of a different user.

Productos afectados

SAP · SAP Mobile Platform

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://launchpad.support.sap.com/#/notes/2672919 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993 http://www.securityfocus.com/bid/105338