9 results (0.007 seconds)

CVSS: 9.9EPSS: 0%CPEs: 6EXPL: 0

SAP NetWeaver Knowledge Management XML Forms versions - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, contains an XSLT vulnerability which allows a non-administrative authenticated attacker to craft a malicious XSL stylesheet file containing a script with OS-level commands, copy it into a location to be accessed by the system and then create a file which will trigger the XSLT engine to execute the script contained within the malicious XSL file. This can result in a full compromise of the confidentiality, integrity, and availability of the system. SAP NetWeaver Knowledge Management XML Forms versiones - 7.10, 7.11, 7.30, 7.31, 7.40, 7.50, contienen una vulnerabilidad de tipo XSLT que permite a un atacante autenticado no administrativo diseñar un archivo de hoja de estilo XSL malicioso que contenga un script con comandos a nivel de sistema operativo, copiarlo en una ubicación a la que pueda acceder el sistema y, a continuación, crear un archivo que desencadene el motor XSLT para ejecutar el script contenido en el archivo XSL malicioso. Esto puede resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema • http://packetstormsecurity.com/files/165751/SAP-Enterprise-Portal-XSLT-Injection.html http://seclists.org/fulldisclosure/2022/Jan/75 https://launchpad.support.sap.com/#/notes/3081888 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0

SAP NetWeaver Knowledge Management allows remote attackers to redirect users to arbitrary websites and conduct phishing attacks via a URL stored in a component. This could enable the attacker to compromise the user's confidentiality and integrity. SAP NetWeaver Knowledge Management, permite a atacantes remotos redirigir a usuarios a sitios web arbitrarios y conducir ataques de phishing por medio de una URL almacenada en un componente. Esto podría permitir al atacante comprometer la confidencialidad e integridad del usuario • http://packetstormsecurity.com/files/165748/SAP-Enterprise-Portal-Open-Redirect.html http://seclists.org/fulldisclosure/2022/Jan/73 https://launchpad.support.sap.com/#/notes/3076399 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0

Knowledge Management versions 7.01, 7.02, 7.30, 7.31, 7.40, 7.50 allows a remote attacker with basic privileges to deserialize user-controlled data without verification, leading to insecure deserialization which triggers the attacker’s code, therefore impacting Availability. Knowledge Management versiones 7.01, 7.02, 7.30, 7.31, 7.40, 7.50, permiten a un atacante remoto con privilegios básicos deserializar unos datos controlados por el usuario sin comprobación, conllevando a una deserialización no segura que desencadena el código del atacante y, por lo tanto, afecta la Disponibilidad • https://launchpad.support.sap.com/#/notes/2983436 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107 • CWE-502: Deserialization of Untrusted Data •

CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0

SAP NetWeaver (Knowledge Management), version-7.30,7.31,7.40,7.50, allows an authenticated attacker to create malicious links in the UI, when clicked by victim, will execute arbitrary java scripts thus extracting or modifying information otherwise restricted leading to Stored Cross Site Scripting. SAP NetWeaver (Knowledge Management), versión-7.30,7.31,7.40,7.50, permite a un atacante autenticado crear enlaces maliciosos en la Interfaz de Usuario, cuando la víctima haga clic en él, ejecutará scripts java arbitrarios, extrayendo o modificando información que de otro modo estaría restringida conllevando a una vulnerabilidad de tipo Cross Site Scripting Almacenado. • https://launchpad.support.sap.com/#/notes/2953112 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.3EPSS: 0%CPEs: 4EXPL: 0

SAP NetWeaver (Knowledge Management), versions - 7.30, 7.31, 7.40, 7.50, allows an unauthenticated attacker to upload a malicious file and also to access, modify or make unavailable existing files but the impact is limited to the files themselves and is restricted by other policies such as access control lists and other upload file size restrictions, leading to Unrestricted File Upload. SAP NetWeaver (Knowledge Management), versiones - 7.30, 7.31, 7.40, 7.50, permite a un atacante no autenticado cargar un archivo malicioso y también acceder, modificar o hacer que los archivos existentes no estén disponibles, pero el impacto es limitado a los archivos en sí y está restringido por otras políticas, tales como listas de control de acceso y otras restricciones de tamaño de archivo de carga, conllevando a una carga de Archivos Sin Restricciones • https://launchpad.support.sap.com/#/notes/2938162 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 • CWE-434: Unrestricted Upload of File with Dangerous Type •