CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11457
https://notcve.org/view.php?id=CVE-2017-11457
XML external entity (XXE) vulnerability in com.sap.km.cm.ice in SAP NetWeaver AS JAVA 7.5 allows remote authenticated users to read arbitrary files or conduct server-side request forgery (SSRF) attacks via a crafted DTD in an XML request, aka SAP Security Note 2387249. La vulnerabilidad tipo XML external entity (XXE) en componente com.sap.km.cm.ice en SAP NetWeaver AS JAVA versión 7.5 permite a los usuarios identificados remotos leer archivos arbitrarios o conducir ataques de tipo server-side request forgery (SSRF) por medio de una DTD creada en una petición XML, también se conoce como Nota de Seguridad de SAP 2387249. • http://www.securityfocus.com/bid/97572 https://erpscan.io/advisories/erpscan-17-018-sap-netweaver-java-7-5-xxe-com-sap-km-cm-ice • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-8913
https://notcve.org/view.php?id=CVE-2017-8913
The Visual Composer VC70RUNTIME component in SAP NetWeaver AS JAVA 7.5 allows remote authenticated users to conduct XML External Entity (XXE) attacks via a crafted XML document in a request to irj/servlet/prt/portal/prtroot/com.sap.visualcomposer.BIKit.default, aka SAP Security Note 2386873. El componente VC70RUNTIME de Visual Composer en SAP NetWeaver AS JAVA versión 7.5 permite a los usuarios autenticados remotos conducir ataques de tipo XML External Entity (XXE) por medio de un documento XML creado en una petición a irj/servlet/prt/portal/prtroot/com.sap.visualcomposer.BIKit .default, también se conoce como Nota de Seguridad de SAP 2386873. • https://erpscan.io/advisories/erpscan-17-007-sap-netweaver-java-7-5-xxe-visual-composer-vc70runtime https://erpscan.io/press-center/blog/sap-cyber-threat-intelligence-report-february-2017 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7717
https://notcve.org/view.php?id=CVE-2017-7717
SQL injection vulnerability in the getUserUddiElements method in the ES UDDI component in SAP NetWeaver AS Java 7.4 allows remote authenticated users to execute arbitrary SQL commands via unspecified vectors, aka SAP Security Note 2356504. Vulnerabilidad de inyección de SQL en el método getUserUddiElements en el componente ES UDDI en SAP NetWeaver AS Java 7.4 permite a usuarios autenticados remotos ejecutar comandos SQL arbitrarios a través de vectores no especificados, también conocido como SAP Security Note 2356504. • http://www.securityfocus.com/bid/100168 http://www.securityfocus.com/bid/95364 https://erpscan.io/advisories/erpscan-17-003-sap-netweaver-7-4-getuseruddielements-sql-injection • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10304
https://notcve.org/view.php?id=CVE-2016-10304
The SAP EP-RUNTIME component in SAP NetWeaver AS JAVA 7.5 allows remote authenticated users to cause a denial of service (out-of-memory error and service instability) via a crafted serialized Java object, as demonstrated by serial.cc3, aka SAP Security Note 2315788. El componente SAP EP-RUNTIME en SAP NetWeaver AS JAVA 7.5 permite a los usuarios autenticados remotos provocar una denegación de servicio (error de falta de memoria e inestabilidad del servicio) a través de un objeto Java serializado manipulado por serial.cc3, también conocido como SAP Security Nota 2315788. • https://erpscan.io/advisories/erpscan-16-029-sap-netweaver-java-7-5-deserialization-untrusted-user-value-trustmanagementservlet • CWE-502: Deserialization of Untrusted Data •
CVSS: 6.5EPSS: 91%CPEs: 1EXPL: 0CVE-2016-9563 – SAP NetWeaver XML External Entity (XXE) Vulnerability
https://notcve.org/view.php?id=CVE-2016-9563
BC-BMT-BPM-DSK in SAP NetWeaver AS JAVA 7.5 allows remote authenticated users to conduct XML External Entity (XXE) attacks via the sap.com~tc~bpem~him~uwlconn~provider~web/bpemuwlconn URI, aka SAP Security Note 2296909. BC-BMT-BPM-DSK en SAP NetWeaver AS JAVA 7.5 permite a usuarios remotos autenticados llevar a cabo ataques XML External Entity (XXE) a través de la URI sap.com~tc~bpem~him~uwlconn~provider~web/bpemuwlconn, vulnerabilidad también conocida como SAP Security Note 2296909. SAP NetWeaver Application Server Java Platforms contains an unspecified vulnerability in BC-BMT-BPM-DSK which allows remote, authenticated users to conduct XML External Entity (XXE) attacks. • http://www.securityfocus.com/bid/92419 https://erpscan.io/advisories/erpscan-16-034-sap-netweaver-java-xxe-vulnerability-bc-bmt-bpm-dsk-component https://launchpad.support.sap.com/#/notes/2296909 • CWE-611: Improper Restriction of XML External Entity Reference •