Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00064: Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence, связанная с возможностью внедрения кода или данных, позволяющая нарушителю получить полный доступ к приложению

Основная информация
Подробнее

Описание уязвимости

Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence связана с возможностью внедрения кода или данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к приложению

Вендор

SAP SE

Наименование ПО

SAP Business Objects Business Intelligence Platform

Версия ПО

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Неверное управление генерацией кода (Внедрение кода)

Идентификатор типа ошибки

CWE-94

Класс уязвимости

Уязвимость кода

Дата выявления

09.01.2023

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации и контроля запросов, которые могут позволить нарушителю эксплуатировать уязвимость;
- сегментирование сети для изоляции критически важных приложений от внешних сетей (в т.ч. Интернет);
- использование антивирусного программного обеспечения.

Использование рекомендаций:
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2023-0022
https://launchpad.support.sap.com/#/notes/3262810
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2023-0022

Прочая информация

Данные уточняются

Последние изменения