← volver
CVE-2023-27267

Multiple vulnerabilities in SAP Diagnostics Agent (OSCommand Bridge)

CVSS 9 CRITICALEPSS 14.2%CWE-306
En resumen

El SAP Diagnostics Agent presenta una falla en OSCommand Bridge donde falta autenticación y validación de datos, permitiendo que atacantes con conocimiento del sistema ejecuten scripts en todos los agentes conectados. Esto puede comprometer completamente la confidencialidad, integridad y disponibilidad del sistema.

Detalle técnico

La vulnerabilidad CVE-2023-27267 (CVSS 9.0) explota la falta de autenticación y validación insuficiente de entrada en OSCommand Bridge del SAP Diagnostics Agent v720, permitiendo ejecución remota de scripts en todos los agentes conectados. Un atacante con conocimiento del sistema puede eludir controles de acceso y ejecutar comandos arbitrarios, resultando en compromiso total de confidencialidad, integridad y disponibilidad.

Resumen generado y traducido por IA a partir de la descripción oficial.
Due to missing authentication and insufficient input validation, the OSCommand Bridge of SAP Diagnostics Agent - version 720, allows an attacker with deep knowledge of the system to execute scripts on all connected Diagnostics Agents. On successful exploitation, the attacker can completely compromise confidentiality, integrity and availability of the system.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
SAP · Diagnostics Agent (OSCommand Bridge)

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://launchpad.support.sap.com/#/notes/3305369https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html