CVSS: 7.2EPSS: 0%CPEs: 11EXPL: 0CVE-2022-31594
https://notcve.org/view.php?id=CVE-2022-31594
A highly privileged user can exploit SUID-root program to escalate his privileges to root on a local Unix system. Un usuario con altos privilegios puede explotar el programa SUID-root para escalar sus privilegios a root en un sistema Unix local • https://launchpad.support.sap.com/#/notes/3155571 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-269: Improper Privilege Management •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-22528
https://notcve.org/view.php?id=CVE-2022-22528
SAP Adaptive Server Enterprise (ASE) - version 16.0, installation makes an entry in the system PATH environment variable in Windows platform which, under certain conditions, allows a Standard User to execute malicious Windows binaries which may lead to privilege escalation on the local system. The issue is with the ASE installer and does not impact other ASE binaries. La instalación de SAP Adaptive Server Enterprise (ASE) - versión 16.0, hace una entrada en la variable de entorno PATH del sistema en la plataforma Windows que, bajo determinadas condiciones, permite a un usuario estándar ejecutar binarios maliciosos de Windows que pueden conllevar a una escalada de privilegios en el sistema local. El problema es con el instalador de ASE y no afecta a otros binarios de ASE • https://launchpad.support.sap.com/#/notes/3140564 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-427: Uncontrolled Search Path Element •
CVSS: 3.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-6317
https://notcve.org/view.php?id=CVE-2020-6317
In certain situations, an attacker with regular user credentials and local access to an ASE cockpit installation can access sensitive information which appears in the installation log files. This information although sensitive is of limited utility and cannot be used to further access, modify or render unavailable any other information in the cockpit or system. This affects SAP Adaptive Server Enterprise, Versions - 15.7, 16.0. En determinadas situaciones, un atacante con credenciales de usuario normales y acceso local a una instalación de cabina ASE puede acceder a información confidencial que se muestra en los archivos de registro de instalación. Esta información, aunque confidencial, es de utilidad limitada y no se puede utilizar para acceder, modificar o hacer que no esté disponible ninguna otra información en la cabina o el sistema. • https://launchpad.support.sap.com/#/notes/2953203 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6295
https://notcve.org/view.php?id=CVE-2020-6295
Under certain conditions the SAP Adaptive Server Enterprise, version 16.0, allows an attacker to access encrypted sensitive and confidential information through publicly readable installation log files leading to a compromise of the installed Cockpit. This compromise could enable the attacker to view, modify and/or make unavailable any data associated with the Cockpit, leading to Information Disclosure. En determinadas condiciones, SAP Adaptive Server Enterprise, versión 16.0, permite a un atacante acceder a información cifrada sensible y confidencial por medio de archivos de registro de instalación que se pueden leer públicamente, conllevando a comprometer el Cockpit instalado. Este compromiso podría permitir al atacante visualizar, modificar y/o hacer que cualquier dato asociado con el Cockpit no estén disponibles, conllevando a una Divulgación de Información • https://launchpad.support.sap.com/#/notes/2941332 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 • CWE-532: Insertion of Sensitive Information into Log File CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6241
https://notcve.org/view.php?id=CVE-2020-6241
SAP Adaptive Server Enterprise, version 16.0, allows an authenticated user to execute crafted database queries to elevate privileges of users in the system, leading to SQL Injection. SAP Adaptive Server Enterprise, versión 16.0, permite a un usuario autenticado ejecutar consultas de base de datos diseñadas para escalar privilegios de usuarios en el sistema, conllevando a una Inyección SQL. • https://launchpad.support.sap.com/#/notes/2916927 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=545396222 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •