CVE-2016-9563
CVE-2016-9563
Em resumo
Uma falha no SAP NetWeaver permite que usuários autenticados explorem ataques de Entidade Externa XML (XXE) através de uma interface web específica. Isso poderia permitir que atacantes leiam arquivos sensíveis ou causem interrupção do sistema manipulando como a aplicação processa dados XML.
Detalhe técnico
O componente BC-BMT-BPM-DSK no SAP NetWeaver AS JAVA 7.5 falha em validar adequadamente entrada XML no endpoint bpemuwlconn, permitindo injeção de XXE. Um atacante autenticado pode explorar isso para acessar arquivos arbitrários no servidor ou realizar operações de falsificação de requisição no servidor (SSRF).
Resumo gerado e traduzido por IA a partir da descrição oficial.
BC-BMT-BPM-DSK in SAP NetWeaver AS JAVA 7.5 allows remote authenticated users to conduct XML External Entity (XXE) attacks via the sap.com~tc~bpem~him~uwlconn~provider~web/bpemuwlconn URI, aka SAP Security Note 2296909.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →