CVE-2022-41274
https://notcve.org/view.php?id=CVE-2022-41274
SAP Disclosure Management - version 10.1, allows an authenticated attacker to exploit certain misconfigured application endpoints to read sensitive data. These endpoints are normally exposed over the network and successful exploitation can lead to the exposure of data like financial reports. SAP Disclosure Management: versión 10.1, permite a un atacante autenticado explotar ciertos endpoints de aplicaciones mal configurados para leer datos confidenciales. Estos endpoints normalmente están expuestos a través de la red y una explotación exitosa puede llevar a la exposición de datos como informes financieros. • https://launchpad.support.sap.com/#/notes/3266846 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-863: Incorrect Authorization •
CVE-2020-26828
https://notcve.org/view.php?id=CVE-2020-26828
SAP Disclosure Management, version - 10.1, provides capabilities for authorized users to upload and download content of specific file type. In some file types it is possible to enter formulas which can call external applications or execute scripts. The execution of a payload (script) on target machine could be used to steal and modify the data available in the spreadsheet SAP Disclosure Management, versión 10.1, proporciona capacidades para que usuarios autorizados carguen y descarguen contenido de un tipo de archivo específico. En algunos tipos de archivos es posible ingresar fórmulas que pueden llamar aplicaciones externas o ejecutar scripts. La ejecución de una carga útil (script) en la máquina objetivo podría ser usado para robar y modificar los datos disponibles en la hoja de cálculo • https://launchpad.support.sap.com/#/notes/2971180 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564757079 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2020-6289
https://notcve.org/view.php?id=CVE-2020-6289
SAP Disclosure Management, version 10.1, had insufficient protection against Cross-Site Request Forgery, which could be used to trick user in to browsing malicious site. SAP Disclosure Management, versión 10.1, presentaba una protección insuficiente contra ataques de tipo Cross-Site Request Forgery, que podría ser usada para engañar a un usuario para navegar en sitios maliciosos • https://launchpad.support.sap.com/#/notes/2758000 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-6290
https://notcve.org/view.php?id=CVE-2020-6290
SAP Disclosure Management, version 10.1, is vulnerable to Session Fixation attacks wherein the attacker tricks the user into using a specific session ID. SAP Disclosure Management, versión 10.1, es vulnerable a ataques de Fijación de Sesión donde el atacante engaña al usuario a usar una ID de sesión específica • https://launchpad.support.sap.com/#/notes/2758000 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 • CWE-384: Session Fixation •
CVE-2020-6291
https://notcve.org/view.php?id=CVE-2020-6291
SAP Disclosure Management, version 10.1, session mechanism does not have expiration data set therefore allows unlimited access after authenticating once, leading to Insufficient Session Expiration SAP Disclosure Management, versión 10.1, un mecanismo de sesión no presenta un ajuste de datos de expiración, por lo tanto, permite un acceso ilimitado luego de una vez autenticado, conllevando a una Insuficiente Expiración de Sesión • https://launchpad.support.sap.com/#/notes/2758000 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 • CWE-613: Insufficient Session Expiration •