SAP Web Application Server WEBRFC ICF Service跨站脚本执行漏洞（CNVD-2011-6875）

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2011-09-15

漏洞描述

SAP NetWeaver Web Application Server是用作SAP Web应用程序服务器的NetWeaver组件。SAP NetWeaver Web Application Server在WEBRFC ICF服务的实现上存在跨站脚本执行漏洞，远程攻击者可利用此漏洞执行任意脚本代码，窃取cookie验证凭证。1）cachetest服务中存在错误，可被利用呈现ERP功能不可用。2）发送到WEBRFC ICF服务的某些输入在返回给用户之前没有正确过滤，可被利用执行HTML和脚本代码。3）SHORTCUT ICF服务中的错误被被利用泄露某些敏感信息。

解决建议

已经为此发布了一个安全公告（Onapsis Security Advisory 2011-015）以及相应补丁:Onapsis Security Advisory 2011-015：Onapsis Security Advisory 2011-015: SAP WebAS webrfc Cross-Site Scripting链接：http://www.securityfocus.com/archive/1/519649

参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2011-6875

CVSS3评分 9.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 N/A
• 可用性 完全地
• 保密性 完全地
• 完整性 完全地

AV:N/AC:M/Au:N/C:C/I:C/A:C

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com