CVE-2023-40623
Arbitrary File Delete via Directory Junction in SAP BusinessObjects Suite(installer)
En resumen
El instalador de SAP BusinessObjects Suite permite que un atacante en la red cree un enlace falso a archivos del sistema y los elimine, dejando el sistema sin funcionar. Esto ocurre porque el instalador no protege adecuadamente los directorios temporales.
Detalle técnico
Vulnerabilidad CWE-1386 en el instalador SAP BusinessObjects Suite (v420, v430) permite que atacantes locales o en la red adyacente creen enlaces de directorio en carpetas temporales que apunten a rutas críticas del SO, facilitando la eliminación arbitraria de archivos. La explotación compromete la disponibilidad e integridad del sistema mediante la supresión de archivos del sistema operativo.
Resumen generado y traducido por IA a partir de la descripción oficial.
SAP BusinessObjects Suite Installer - version 420, 430, allows an attacker within the network to create a directory under temporary directory and link it to a directory with operating system files. On successful exploitation the attacker can delete all the operating system files causing a limited impact on integrity and completely compromising the availability of the system.
CVSS:3.1/AV:A/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:H
Productos afectados
SAP_SE · SAP BusinessObjects Suite (Installer)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →