CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2023-36920 – Clickjacking vulnerability in SAP Enable Now
https://notcve.org/view.php?id=CVE-2023-36920
In SAP Enable Now - versions WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704, the X-FRAME-OPTIONS response header is not implemented, allowing an unauthenticated attacker to attempt clickjacking, which could result in disclosure or modification of information. En SAP Enable Now - versiones WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704, the X-FRAME-OPTIONS el encabezado de respuesta no está implementado, lo que permite que un atacante no autenticado intente hacer click, lo que podría resultar en la divulgación o modificación de información. • https://launchpad.support.sap.com/#/notes/3326769 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-35293
https://notcve.org/view.php?id=CVE-2022-35293
Due to insecure session management, SAP Enable Now allows an unauthenticated attacker to gain access to user's account. On successful exploitation, an attacker can view or modify user data causing limited impact on confidentiality and integrity of the application. Debido a una administración insegura de la sesión, SAP Enable Now permite a un atacante no autenticado obtener acceso a la cuenta del usuario. Si es explotado con éxito, un atacante puede visualizar o modificar los datos del usuario causando un impacto limitado en la confidencialidad e integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3210566 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-862: Missing Authorization •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-27637
https://notcve.org/view.php?id=CVE-2021-27637
Under certain conditions SAP Enable Now (SAP Workforce Performance Builder - Manager), versions - 1.0, 10 allows an attacker to access information which would otherwise be restricted leading to information disclosure. Bajo determinadas condiciones, SAP Enable Now (SAP Workforce Performance Builder - Manager), versiones - 1.0, 10 permite a un atacante acceder a información que de otro modo estaría restringida y conllevaría a una divulgación de información • https://launchpad.support.sap.com/#/notes/3049879 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 •
CVSS: 3.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6197
https://notcve.org/view.php?id=CVE-2020-6197
SAP Enable Now, before version 1908, does not invalidate session tokens in a timely manner. The Insufficient Session Expiration may allow attackers with local access, for instance, to still download the portables. SAP Enable Now, versiones anteriores a la versión 1908, no invalida los tokens de sesión de forma oportuna. La Expiración de Sesión Insuficiente puede permitir a atacantes con acceso local, de momento, seguir descargando los portátiles. • https://launchpad.support.sap.com/#/notes/2845363 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-613: Insufficient Session Expiration •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6178
https://notcve.org/view.php?id=CVE-2020-6178
SAP Enable Now, before version 1911, sends the Session ID cookie value in URL. This might be stolen from the browser history or log files, leading to Information Disclosure. SAP Enable Now, versiones anteriores la versión 1911, envía el valor de cookie Session ID en la URL. Esto puede ser robado del historial del navegador o de los archivos de registro, conllevando a una Divulgación de Información. • https://launchpad.support.sap.com/#/notes/2880664 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •