CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-6313
https://notcve.org/view.php?id=CVE-2020-6313
SAP NetWeaver Application Server JAVA(XML Forms) versions 7.30, 7.31, 7.40, 7.50 does not sufficiently encode user controlled inputs, which allows an authenticated User with special roles to store malicious content, that when accessed by a victim, can perform malicious actions by executing JavaScript, leading to Stored Cross-Site Scripting. SAP NetWeaver Application Server JAVA(XML Forms) versiones 7.30, 7.31, 7.40, 7.50, no codifican suficientemente las entradas controladas por el usuario, lo que permite a un Usuario autenticado con roles especiales almacenar contenido malicioso, que cuando accesaba una víctima, puede llevar a cabo acciones maliciosas al ejecutar un JavaScript, conllevando a una vulnerabilidad de tipo Cross-Site Scripting Almacenado. • https://launchpad.support.sap.com/#/notes/2953112 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-116: Improper Encoding or Escaping of Output •
CVSS: 4.3EPSS: 0%CPEs: 22EXPL: 0CVE-2020-6310
https://notcve.org/view.php?id=CVE-2020-6310
Improper access control in SOA Configuration Trace component in SAP NetWeaver (ABAP Server) and ABAP Platform, versions - 702, 730, 731, 740, 750, allows any authenticated user to enumerate all SAP users, leading to Information Disclosure. Un control de acceso inapropiado en el componente SOA Configuration Trace en SAP NetWeaver (ABAP Server) y la plataforma ABAP, versiones - 702, 730, 731, 740, 750, permite a cualquier usuario autenticado enumerar todos los usuarios de SAP, conllevando a una Divulgación de Información • https://launchpad.support.sap.com/#/notes/2944988 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 •
CVSS: 7.8EPSS: 0%CPEs: 7EXPL: 0CVE-2020-6309
https://notcve.org/view.php?id=CVE-2020-6309
SAP NetWeaver AS JAVA, versions - (ENGINEAPI 7.10; WSRM 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; J2EE-FRMW 7.10, 7.11), does not perform any authentication checks for a web service allowing the attacker to send several payloads and leading to complete denial of service. SAP NetWeaver AS JAVA, versiones - (ENGINEAPI 7.10; WSRM 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; J2EE-FRMW 7.10, 7.11), no lleva a cabo ninguna comprobación de autenticación para un servicio web permitiendo al atacante enviar varias cargas útiles y conllevando a una denegación total del servicio • https://launchpad.support.sap.com/#/notes/2941315 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 22EXPL: 0CVE-2020-6296
https://notcve.org/view.php?id=CVE-2020-6296
SAP NetWeaver (ABAP Server) and ABAP Platform, versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755, allows an attacker to inject code that can be executed by the application, leading to Code Injection. An attacker could thereby control the behavior of the application. SAP NetWeaver (ABAP Server) y plataforma ABAP, versiones: 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755, permiten a un atacante inyectar código que puede ser ejecutado por la aplicación conllevando a una Inyección de Código. Un atacante podría de ese modo, controlar el comportamiento de la aplicación • https://launchpad.support.sap.com/#/notes/2941667 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 •
CVSS: 7.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-6293
https://notcve.org/view.php?id=CVE-2020-6293
SAP NetWeaver (Knowledge Management), versions - 7.30, 7.31, 7.40, 7.50, allows an unauthenticated attacker to upload a malicious file and also to access, modify or make unavailable existing files but the impact is limited to the files themselves and is restricted by other policies such as access control lists and other upload file size restrictions, leading to Unrestricted File Upload. SAP NetWeaver (Knowledge Management), versiones - 7.30, 7.31, 7.40, 7.50, permite a un atacante no autenticado cargar un archivo malicioso y también acceder, modificar o hacer que los archivos existentes no estén disponibles, pero el impacto es limitado a los archivos en sí y está restringido por otras políticas, tales como listas de control de acceso y otras restricciones de tamaño de archivo de carga, conllevando a una carga de Archivos Sin Restricciones • https://launchpad.support.sap.com/#/notes/2938162 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345 • CWE-434: Unrestricted Upload of File with Dangerous Type •