CVE-2024-33000 – Missing Authorization check in SAP Bank Account Management
https://notcve.org/view.php?id=CVE-2024-33000
SAP Bank Account Management does not perform necessary authorization check for an authorized user, resulting in escalation of privileges. As a result, it has a low impact to confidentiality to the system. SAP Bank Account Management no realiza la verificación de autorización necesaria para un usuario autorizado, lo que resulta en una escalada de privilegios. Como resultado, tiene un bajo impacto en la confidencialidad del sistema. • https://me.sap.com/notes/3392049 https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html • CWE-862: Missing Authorization •
CVE-2024-33008 – Memory Corruption vulnerability in SAP Replication Server
https://notcve.org/view.php?id=CVE-2024-33008
SAP Replication Server allows an attacker to use gateway for executing some commands to RSSD. This could result in crashing the Replication Server due to memory corruption with high impact on Availability of the system. SAP Replication Server permite a un atacante utilizar una puerta de enlace para ejecutar algunos comandos a RSSD. Esto podría provocar que el servidor de replicación colapse debido a daños en la memoria con un alto impacto en la disponibilidad del sistema. • https://me.sap.com/notes/3349468 https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html • CWE-787: Out-of-bounds Write •
CVE-2024-33007 – Client-side script execution vulnerability in SAP UI5(PDFViewer)
https://notcve.org/view.php?id=CVE-2024-33007
PDFViewer is a control delivered as part of SAPUI5 product which shows the PDF content in an embedded mode by default. If a PDF document contains embedded JavaScript (or any harmful client-side script), the PDFViewer will execute the JavaScript embedded in the PDF which can cause a potential security threat. PDFViewer es un control entregado como parte del producto SAPUI5 que muestra el contenido del PDF en modo incrustado de forma predeterminada. Si un documento PDF contiene JavaScript incrustado (o cualquier script dañino del lado del cliente), PDFViewer ejecutará el JavaScript incrustado en el PDF, lo que puede causar una posible amenaza a la seguridad. • https://me.sap.com/notes/3446076 https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-32731 – Missing Authorization check in SAP My Travel Requests
https://notcve.org/view.php?id=CVE-2024-32731
SAP My Travel Requests does not perform necessary authorization checks for an authenticated user, resulting in escalation of privileges. On successful exploitation, the attacker can upload a malicious attachment to a business trip request which will lead to a low impact on the confidentiality, integrity and availability of the application. SAP My Travel Requests no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que da lugar a una escalada de privilegios. Si la explotación tiene éxito, el atacante puede cargar un archivo adjunto malicioso a una solicitud de viaje de negocios, lo que tendrá un bajo impacto en la confidencialidad, integridad y disponibilidad de la aplicación. • https://me.sap.com/notes/3447467 https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364 • CWE-862: Missing Authorization •
CVE-2024-32730 – Missing authorization check in SAP Enable Now Manager
https://notcve.org/view.php?id=CVE-2024-32730
SAP Enable Now Manager does not perform necessary authorization checks for an authenticated user, resulting in escalation of privileges. On successful exploitation, the attacker with the role 'Learner' could gain access to other user's data in manager which will lead to a high impact to the confidentiality of the application. SAP Enable Now Manager no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que da lugar a una escalada de privilegios. Si la explotación tiene éxito, el atacante con el rol de "Aprendiz" podría obtener acceso a los datos de otros usuarios en el administrador, lo que tendrá un alto impacto en la confidencialidad de la aplicación. • https://me.sap.com/notes/3441944 https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364 • CWE-862: Missing Authorization •