CVE-2023-28765
Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management )
En resumen
Un atacante con acceso básico a la plataforma SAP BusinessObjects BI puede robar archivos cifrados y descifrarlos para obtener contraseñas de usuarios, pudiendo asumir control total del sistema dependiendo de los permisos del usuario comprometido.
Detalle técnico
Vulnerabilidad CWE-200 de divulgación de información en SAP BusinessObjects BI Platform Promotion Management (versiones 420, 430) permite que atacantes con privilegios bajos accedan y descifren archivos lcmbiar que contienen credenciales de usuarios BI. La explotación exitosa habilita movimiento lateral y escalación de privilegios según los permisos del usuario comprometido, potencialmente llevando al compromiso completo de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
An attacker with basic privileges in SAP BusinessObjects Business Intelligence Platform (Promotion Management) - versions 420, 430, can get access to lcmbiar file and further decrypt the file. After this attacker can gain access to BI user’s passwords and depending on the privileges of the BI user, the attacker can perform operations that can completely compromise the application.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
SAP · BusinessObjects Business Intelligence Platform (Promotion Management)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →