CVE-2023-27267

Multiple vulnerabilities in SAP Diagnostics Agent (OSCommand Bridge)

CVSS 9 CRITICALEPSS 14.2%CWE-306

Em resumo

O SAP Diagnostics Agent possui uma falha no OSCommand Bridge onde faltam autenticação e validação de dados, permitindo que atacantes com conhecimento do sistema executem scripts em todos os agentes conectados. Isso pode comprometer completamente a confidencialidade, integridade e disponibilidade do sistema.

Detalhe técnico

A vulnerabilidade CVE-2023-27267 (CVSS 9.0) explora autenticação ausente e validação insuficiente de entrada no OSCommand Bridge do SAP Diagnostics Agent v720, permitindo execução remota de scripts em todos os agentes conectados. Um atacante com conhecimento do sistema consegue contornar controles de acesso e executar comandos arbitrários, resultando em comprometimento total da confidencialidade, integridade e disponibilidade.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Due to missing authentication and insufficient input validation, the OSCommand Bridge of SAP Diagnostics Agent - version 720, allows an attacker with deep knowledge of the system to execute scripts on all connected Diagnostics Agents. On successful exploitation, the attacker can completely compromise confidentiality, integrity and availability of the system.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

SAP · Diagnostics Agent (OSCommand Bridge)

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://launchpad.support.sap.com/#/notes/3305369 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html