CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-6145
https://notcve.org/view.php?id=CVE-2016-6145
The SQL interface in SAP HANA DB 1.00.091.00.1418659308 provides different error messages for failed login attempts depending on whether the username exists and is locked when the detailed_error_on_connect option is not supported or is configured as "False," which allows remote attackers to enumerate database users via a series of login attempts, aka SAP Security Note 2216869. La interfaz SQL en SAP HANA DB 1.00.091.00.1418659308 muestra diferentes mensajes de error para intentos de inicio de sesión fallidos dependiendo de si existe el nombre de usuario y está bloqueado cuando la opción detailed_error_on_connect no está apoyada o está configurada como "falsa", lo que permite a atacantes remotos enumerar usuarios de bases de datos a través una serie de intentos de inicio de sesión, vulnerabilidad también conocida como SAP Security Note 2216869. • http://packetstormsecurity.com/files/138444/SAP-HANA-DB-1.00.091.00.1418659308-Information-Disclosure.html http://seclists.org/fulldisclosure/2016/Aug/92 http://www.securityfocus.com/bid/92346 https://www.onapsis.com/blog/onapsis-publishes-15-advisories-sap-hana-and-building-components https://www.onapsis.com/research/security-advisories/sap-hana-user-information-disclosure • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0CVE-2016-6150
https://notcve.org/view.php?id=CVE-2016-6150
The multi-tenant database container feature in SAP HANA does not properly encrypt communications, which allows remote attackers to bypass intended access restrictions and possibly have unspecified other impact via unknown vectors, aka SAP Security Note 2233550. La característica del contenedor de base de datos de múltiples usuarios en SAP HANA no encripta adecuadamente las comunicaciones, lo que permite a atacantes remotos eludir las restricciones destinadas al acceso y posiblemente tener otro impacto no especificado a través de vectores desconocidos, también conocido como SAP Security Note 2233550. • http://packetstormsecurity.com/files/138453/SAP-HANA-DB-Encryption-Issue.html http://seclists.org/fulldisclosure/2016/Aug/96 http://www.securityfocus.com/bid/92064 https://layersevensecurity.com/wp-content/uploads/2016/02/Layer-Seven-Security_SAP-Security-Notes_January-2016.pdf https://www.onapsis.com/research/security-advisories/sap-hana-potential-wrong-encryption • CWE-284: Improper Access Control •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-3640
https://notcve.org/view.php?id=CVE-2016-3640
The Extended Application Services (aka XS or XS Engine) in SAP HANA DB 1.00.091.00.1418659308 allows local users to obtain sensitive password information via vectors related to passwords in Web Dispatcher trace files, aka SAP Security Note 2148905. El Extended Application Services (también conocido como XS o XS Engine) en SAP HANA DB 1.00.091.00.1418659308 permite a usuarios locales obtener información sensible de contraseñas a través de vectores relacionados con contraseñas en archivos de registro de seguimiento Web Dispatcher, también conocido como SAP Security Note 2148905. • http://www.securityfocus.com/bid/92068 https://layersevensecurity.com/wp-content/uploads/2015/10/Layer-Seven-Security_SAP-Security-Notes_August-2015.pdf https://www.onapsis.com/blog/analyzing-sap-security-notes-august-2015-edition https://www.onapsis.com/research/security-advisories/sap-hana-password-disclosure • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 2%CPEs: 1EXPL: 0CVE-2016-6148
https://notcve.org/view.php?id=CVE-2016-6148
SAP HANA DB 1.00.73.00.389160 allows remote attackers to cause a denial of service (process termination) or execute arbitrary code via vectors related to an IMPORT statement, aka SAP Security Note 2233136. SAP HANA DB 1.00.73.00.389160 permite a atacantes remotos provocar una denegación de servicio (terminación de proceso) o ejecutar código arbitrario a través de vectores relacionados con una declaración IMPORT, también conocido como SAP Security Note 2233136. • http://packetstormsecurity.com/files/138450/SAP-HANA-DB-1.00.73.00.389160-Remote-Code-Execution.html http://seclists.org/fulldisclosure/2016/Aug/95 http://www.securityfocus.com/bid/92067 https://layersevensecurity.com/wp-content/uploads/2016/02/Layer-Seven-Security_SAP-Security-Notes_January-2016.pdf https://www.onapsis.com/blog/analyzing-sap-security-notes-january-2016 • CWE-20: Improper Input Validation •
CVSS: 8.1EPSS: 1%CPEs: 1EXPL: 0CVE-2016-6144
https://notcve.org/view.php?id=CVE-2016-6144
The SQL interface in SAP HANA before Revision 102 does not limit the number of login attempts for the SYSTEM user when the password_lock_for_system_user is not supported or is configured as "False," which makes it easier for remote attackers to bypass authentication via a brute force attack, aka SAP Security Note 2216869. La interfaz SQL en SAP HANA en versiones anteriores a Revision 102 no limita el número de intentos de inicio de sesión para el usuario SYSTEM cuando el password_lock_for_system_user no es apoyado o está configurado como "False," lo que facilita a atacantes remotos eludir la autenticación a través de un ataque de fuerza bruta, también conocido como SAP Security Note 2216869. • http://packetstormsecurity.com/files/138443/SAP-HANA-DB-1.00.73.00.389160-SYSTEM-User-Brute-Force.html http://seclists.org/fulldisclosure/2016/Aug/91 http://www.securityfocus.com/bid/92065 https://www.onapsis.com/blog/onapsis-publishes-15-advisories-sap-hana-and-building-components https://www.onapsis.com/research/security-advisories/sap-hana-system-user-brute-force-attack • CWE-284: Improper Access Control •