CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-35297
https://notcve.org/view.php?id=CVE-2022-35297
The application SAP Enable Now does not sufficiently encode user-controlled inputs over the network before it is placed in the output being served to other users, thereby expanding the attack scope, resulting in Stored Cross-Site Scripting (XSS) vulnerability leading to limited impact on Confidentiality, Integrity and Availability. La aplicación SAP Enable Now no codifica suficientemente las entradas controladas por el usuario a través de la red antes de colocarlas en la salida que sirve a otros usuarios, ampliando así el alcance del ataque, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado que conlleva a un impacto limitado en la Confidencialidad, la Integridad y la Disponibilidad • https://launchpad.support.sap.com/#/notes/3049899 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-27637
https://notcve.org/view.php?id=CVE-2021-27637
Under certain conditions SAP Enable Now (SAP Workforce Performance Builder - Manager), versions - 1.0, 10 allows an attacker to access information which would otherwise be restricted leading to information disclosure. Bajo determinadas condiciones, SAP Enable Now (SAP Workforce Performance Builder - Manager), versiones - 1.0, 10 permite a un atacante acceder a información que de otro modo estaría restringida y conllevaría a una divulgación de información • https://launchpad.support.sap.com/#/notes/3049879 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 •
CVSS: 3.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6197
https://notcve.org/view.php?id=CVE-2020-6197
SAP Enable Now, before version 1908, does not invalidate session tokens in a timely manner. The Insufficient Session Expiration may allow attackers with local access, for instance, to still download the portables. SAP Enable Now, versiones anteriores a la versión 1908, no invalida los tokens de sesión de forma oportuna. La Expiración de Sesión Insuficiente puede permitir a atacantes con acceso local, de momento, seguir descargando los portátiles. • https://launchpad.support.sap.com/#/notes/2845363 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-613: Insufficient Session Expiration •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6178
https://notcve.org/view.php?id=CVE-2020-6178
SAP Enable Now, before version 1911, sends the Session ID cookie value in URL. This might be stolen from the browser history or log files, leading to Information Disclosure. SAP Enable Now, versiones anteriores la versión 1911, envía el valor de cookie Session ID en la URL. Esto puede ser robado del historial del navegador o de los archivos de registro, conllevando a una Divulgación de Información. • https://launchpad.support.sap.com/#/notes/2880664 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0405
https://notcve.org/view.php?id=CVE-2019-0405
SAP Enable Now, before version 1911, leaks information about the existence of a particular user which can be used to construct a list of users, leading to a user enumeration vulnerability and Information Disclosure. SAP Enable Now, versiones anteriores a 1911, filtra información sobre la existencia de un usuario en particular que puede ser usada para construir una lista de usuarios, lo que conlleva a una vulnerabilidad de enumeración de usuarios y una Divulgación de Información. • https://launchpad.support.sap.com/#/notes/2845183 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=533660397 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •