漏洞详情: CVE-2019-0283

漏洞标题
NVD 暂无描述信息
来源:NVD
SAP Netweaver Process Integration 访问控制错误漏洞
来源:CNNVD
漏洞描述
SAP NetWeaver Process Integration (Adapter Engine), fixed in versions 7.10 to 7.11, 7.30, 7.31, 7.40, 7.50; is vulnerable to Digital Signature Spoofing. It is possible to spoof XML signatures and send arbitrary requests to the server via PI Axis adapter. These requests will be accepted by the PI Axis adapter even if the payload has been altered, especially when the signed element is the body of the xml document.
来源:NVD
SAP Netweaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。Process Integration是其中的一套企业应用程序集成软件。 SAP Netweaver Process Integration中存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。以下版本受到影响:SAP NetWeaver Process Integration 7.10版本,7.11版本,7.30版本,7.31版本,7.40版本,
来源:CNNVD
SAP NetWeaver 流程整合(Adapter Engine),在7.10版本至7.11版本、7.30版本、7.31版本、7.40版本和7.50版本中已修复;容易受到数字签名欺骗。可以通过PI Axis adapter spoof XML签名并向服务器发送任意请求。即使 payload 已更改,PI Axis adapter 也将接受这些请求,特别是当签名元素是 XML 文档的正文时。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
来源:神龙机器人, 准确率:N/A
漏洞类别
NVD 暂无漏洞类别信息
来源:NVD
授权问题
来源:CNNVD
相关链接