CVE-2023-49578 – Denial of service (DOS) in SAP Cloud Connector
https://notcve.org/view.php?id=CVE-2023-49578
SAP Cloud Connector - version 2.0, allows an authenticated user with low privilege to perform Denial of service attack from adjacent UI by sending a malicious request which leads to low impact on the availability and no impact on confidentiality or Integrity of the application. SAP Cloud Connector: versión 2.0, permite a un usuario autenticado con privilegios bajos realizar un ataque de denegación de servicio desde la interfaz de usuario adyacente mediante el envío de una solicitud maliciosa que genera un impacto bajo en la disponibilidad y ningún impacto en la confidencialidad o integridad de la aplicación. • https://me.sap.com/notes/3362463 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-400: Uncontrolled Resource Consumption CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2021-33694
https://notcve.org/view.php?id=CVE-2021-33694
SAP Cloud Connector, version - 2.0, does not sufficiently encode user-controlled inputs, allowing an attacker with Administrator rights, to include malicious codes that get stored in the database, and when accessed, could be executed in the application, resulting in Stored Cross-Site Scripting. SAP Cloud Connector, versión - 2.0, no codifica suficientemente las entradas controladas por el usuario, permitiendo a un atacante con derechos de administrador, incluir códigos maliciosos que se almacenan en la base de datos, y cuando son accedidos, podrían ejecutarse en la aplicación, resultando en un ataque de tipo Cross-Site Scripting Almacenado • https://launchpad.support.sap.com/#/notes/3058553 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-33693
https://notcve.org/view.php?id=CVE-2021-33693
SAP Cloud Connector, version - 2.0, allows an authenticated administrator to modify a configuration file to inject malicious codes that could potentially lead to OS command execution. SAP Cloud Connector, versión - 2.0, permite a un administrador autenticado modifique un archivo de configuración para inyectar códigos maliciosos que podrían conllevar la ejecución de comandos del sistema operativo • https://launchpad.support.sap.com/#/notes/3058553 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2021-33695
https://notcve.org/view.php?id=CVE-2021-33695
Potentially, SAP Cloud Connector, version - 2.0 communication with the backend is accepted without sufficient validation of the certificate. Potencialmente, SAP Cloud Connector, versión - 2.0, una comunicación con el backend es aceptada sin que se compruebe suficientemente el certificado • https://launchpad.support.sap.com/#/notes/3058553 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-295: Improper Certificate Validation CWE-297: Improper Validation of Certificate with Host Mismatch •
CVE-2021-33692
https://notcve.org/view.php?id=CVE-2021-33692
SAP Cloud Connector, version - 2.0, allows the upload of zip files as backup. This backup file can be tricked to inject special elements such as '..' and '/' separators, for attackers to escape outside of the restricted location to access files or directories. SAP Cloud Connector, versión - 2.0, permite la carga de archivos zip como copia de seguridad. Este archivo de copia de seguridad puede ser engañado para inyectar elementos especiales como los separadores ".." y "/", para que los atacantes escapen fuera de la ubicación restringida para acceder a archivos o directorios • https://launchpad.support.sap.com/#/notes/3058553 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •