← volver
CVE-2020-6207

CVE-2020-6207

CVSS 10 CRITICALEPSS 98.4%● KEVCWE-306
En resumen

SAP Solution Manager versión 7.2 tiene un servicio que no requiere autenticación, permitiendo que cualquier persona tome control total de todos los agentes de monitoreo conectados sin necesidad de credenciales.

Detalle técnico

La falta de verificación de autenticación (CWE-306) en el User Experience Monitoring de SAP Solution Manager 7.2 permite acceso no autenticado a un servicio, comprometiendo todos los SMDAgents conectados a la instancia. No se requieren credenciales previas; la explotación remota es posible.

Resumen generado y traducido por IA a partir de la descripción oficial.
SAP Solution Manager (User Experience Monitoring), version- 7.2, due to Missing Authentication Check does not perform any authentication for a service resulting in complete compromise of all SMDAgents connected to the Solution Manager.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
SAP SE · SAP Solution Manager (User Experience Monitoring)
PoCs públicas encontradas4
githubgithub.com/chipik/SAP_EEM_CVE-2020-620782cve_referencepacketstormsecurity.com/files/161993/SAP-Solution-Manager-7.2-Remote-Command-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/162083/SAP-SMD-Agent-Unauthenticated-Remote-Code-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/163168/SAP-Solution-Manager-7.20-Missing-Authorization.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/161993/SAP-Solution-Manager-7.2-Remote-Command-Execution.htmlhttp://packetstormsecurity.com/files/162083/SAP-SMD-Agent-Unauthenticated-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/163168/SAP-Solution-Manager-7.20-Missing-Authorization.htmlhttp://seclists.org/fulldisclosure/2021/Apr/4http://seclists.org/fulldisclosure/2021/Jun/34https://launchpad.support.sap.com/#/notes/2890213https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-6207