CVE-2021-41251

Possibility to elevate privileges or get unauthorized access to data

CVSS 5.9 MEDIUMEPSS 1.7%CWE-200

En resumen

El SAP Cloud SDK podría almacenar en caché configuraciones de destino sin información adecuada del usuario, permitiendo que otros usuarios accedan al mismo destino y sus permisos. Esto solo afecta sistemas que habilitaron explícitamente el almacenamiento en caché de destinos, que está deshabilitado por defecto.

Detalle técnico

Vulnerabilidad de exposición de información (CWE-200) en @sap-cloud-sdk/core versiones anteriores a 1.52.0, donde el mecanismo de caché de destinos falla en asociar correctamente el contexto del usuario, permitiendo acceso no autorizado a destinos almacenados en caché y sus permisos asociados. Requiere que el caché esté explícitamente habilitado; mitigado deshabilitándolo o actualizando a versión parcheada.

Resumen generado y traducido por IA a partir de la descripción oficial.

@sap-cloud-sdk/core contains the core functionality of the SAP Cloud SDK as well as the SAP Business Technology Platform abstractions. This affects applications on SAP Business Technology Platform that use the SAP Cloud SDK and enabled caching of destinations. In affected versions and in some cases, when user information was missing, destinations were cached without user information, allowing other users to retrieve the same destination with its permissions. By default, destination caching is disabled. The security for caching has been increased. The changes are released in version 1.52.0. Users unable to upgrade are advised to disable destination caching (it is disabled by default).

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

SAP · cloud-sdk-js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/SAP/cloud-sdk-js/pull/1769 https://github.com/SAP/cloud-sdk-js/pull/1770 https://github.com/SAP/cloud-sdk-js/security/advisories/GHSA-gp2f-254m-rh32