CVE-2016-2386
CVE-2016-2386
Em resumo
Uma falha no servidor UDDI do SAP NetWeaver permite que invasores injetem comandos SQL maliciosos sem autenticação, possibilitando acesso completo ao banco de dados e a todos os dados sensíveis armazenados.
Detalhe técnico
Vulnerabilidade de injeção SQL no componente UDDI do SAP NetWeaver J2EE Engine 7.40, explorável através de vetores de entrada não especificados, permitindo execução remota de comandos arbitrários no contexto do banco de dados. O ataque requer acesso de rede ao serviço UDDI; a exploração bem-sucedida resulta em comprometimento total do banco de dados incluindo roubo e modificação de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
SQL injection vulnerability in the UDDI server in SAP NetWeaver J2EE Engine 7.40 allows remote attackers to execute arbitrary SQL commands via unspecified vectors, aka SAP Security Note 2101079.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 6
githubgithub.com/murataydemir/CVE-2016-2386★ 2cve_referencepacketstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlnão verificadocve_referencewww.exploit-db.com/exploits/39840/não verificadocve_referencewww.exploit-db.com/exploits/43495/não verificadoexploitdbwww.exploit-db.com/exploits/43495não verificadoexploitdbwww.exploit-db.com/exploits/39840não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlhttp://seclists.org/fulldisclosure/2016/May/56https://erpscan.io/advisories/erpscan-16-011-sap-netweaver-7-4-sql-injection-vulnerability/https://erpscan.io/press-center/blog/sap-security-notes-february-2016-review/https://github.com/vah13/SAP_exploithttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-2386https://www.exploit-db.com/exploits/39840/https://www.exploit-db.com/exploits/43495/