CVE-2018-2365
https://notcve.org/view.php?id=CVE-2018-2365
SAP NetWeaver Portal, WebDynpro Java, 7.30, 7.31, 7.40, 7.50, does not sufficiently encode user controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability. SAP NetWeaver Portal y WebDynpro Java 7.30, 7.31, 7.40 y 7.50, no cifra lo suficiente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS). • http://www.securityfocus.com/bid/102999 https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018 https://launchpad.support.sap.com/#/notes/2547977 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-2368
https://notcve.org/view.php?id=CVE-2018-2368
SAP NetWeaver System Landscape Directory, LM-CORE 7.10, 7.20, 7.30, 7.31, 7.40, does not perform any authentication checks for functionalities that require user identity. SAP NetWeaver System Landscape Directory, LM-CORE 7.10, 7.20, 7.30, 7.31 y 7.40 no realiza comprobaciones de autenticación para funcionalidades que requieren la identidad del usuario. • http://www.securityfocus.com/bid/103000 https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018 https://launchpad.support.sap.com/#/notes/2565622 • CWE-306: Missing Authentication for Critical Function •
CVE-2018-2363
https://notcve.org/view.php?id=CVE-2018-2363
SAP NetWeaver, SAP BASIS from 7.00 to 7.02, from 7.10 to 7.11, 7.30, 7.31, 7.40, from 7.50 to 7.52, contains code that allows you to execute arbitrary program code of the user's choice. A malicious user can therefore control the behaviour of the system or can potentially escalate privileges by executing malicious code without legitimate credentials. SAP NetWeaver y SAP BASIS, desde la versión 7.00 hasta la 7.02, desde la 7.10 a la 7.11, 7.30, 7.31, 7.40 y desde la versión 7.50 a la 7.52, contiene código que permite ejecutar código arbitrario del programa a elección del usuario. Un usuario malicioso puede, por lo tanto, controlar el comportamiento del sistema o escalar privilegios mediante la ejecución de código malicioso sin credenciales legítimas. • http://www.securityfocus.com/bid/102449 https://blogs.sap.com/2018/01/09/sap-security-patch-day-january-2018 https://launchpad.support.sap.com/#/notes/1906212 https://launchpad.support.sap.com/#/notes/2525392 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2017-16678
https://notcve.org/view.php?id=CVE-2017-16678
Server Side Request Forgery (SSRF) vulnerability in SAP NetWeaver Knowledge Management Configuration Service, EPBC and EPBC2 from 7.00 to 7.02; KMC-BC 7.30, 7.31, 7.40 and 7.50, that allows an attacker to manipulate the vulnerable application to send crafted requests on behalf of the application. Vulnerabilidad de Server Side Request Forgery (SSRF) en SAP NetWeaver Knowledge Management Configuration Service, EPBC y EPBC2 desde la versión 7.00 hasta la 7.02 y KMC-BC 7.30, 7.31, 7.40 y 7.50, que permite que un atacante manipule la aplicación vulnerable para que envíe peticiones manipuladas en nombre de la aplicación. • http://www.securityfocus.com/bid/102149 https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017 https://launchpad.support.sap.com/#/notes/2457562 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2017-16682
https://notcve.org/view.php?id=CVE-2017-16682
SAP NetWeaver Internet Transaction Server (ITS), SAP Basis from 7.00 to 7.02, 7.30, 7.31, 7.40, from 7.50 to 7.52, allows an attacker with administrator credentials to inject code that can be executed by the application and thereby control the behavior of the application. SAP NetWeaver Internet Transaction Server (ITS), SAP Basis desde la versión 7.00 hasta la 7.02, 7.30, 7.31 y 7.40 y desde la versión 7.50 hasta la 7.52, permite que un atacante con credenciales de administrador inyecte código que puede ser ejecutado por la aplicación y así controlar el comportamiento de la aplicación. • http://www.securityfocus.com/bid/102143 https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017 https://launchpad.support.sap.com/#/notes/2526781 • CWE-94: Improper Control of Generation of Code ('Code Injection') •