CVE-2022-35297
https://notcve.org/view.php?id=CVE-2022-35297
The application SAP Enable Now does not sufficiently encode user-controlled inputs over the network before it is placed in the output being served to other users, thereby expanding the attack scope, resulting in Stored Cross-Site Scripting (XSS) vulnerability leading to limited impact on Confidentiality, Integrity and Availability. La aplicación SAP Enable Now no codifica suficientemente las entradas controladas por el usuario a través de la red antes de colocarlas en la salida que sirve a otros usuarios, ampliando así el alcance del ataque, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado que conlleva a un impacto limitado en la Confidencialidad, la Integridad y la Disponibilidad • https://launchpad.support.sap.com/#/notes/3049899 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-35293
https://notcve.org/view.php?id=CVE-2022-35293
Due to insecure session management, SAP Enable Now allows an unauthenticated attacker to gain access to user's account. On successful exploitation, an attacker can view or modify user data causing limited impact on confidentiality and integrity of the application. Debido a una administración insegura de la sesión, SAP Enable Now permite a un atacante no autenticado obtener acceso a la cuenta del usuario. Si es explotado con éxito, un atacante puede visualizar o modificar los datos del usuario causando un impacto limitado en la confidencialidad e integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3210566 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-862: Missing Authorization •
CVE-2021-27637
https://notcve.org/view.php?id=CVE-2021-27637
Under certain conditions SAP Enable Now (SAP Workforce Performance Builder - Manager), versions - 1.0, 10 allows an attacker to access information which would otherwise be restricted leading to information disclosure. Bajo determinadas condiciones, SAP Enable Now (SAP Workforce Performance Builder - Manager), versiones - 1.0, 10 permite a un atacante acceder a información que de otro modo estaría restringida y conllevaría a una divulgación de información • https://launchpad.support.sap.com/#/notes/3049879 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 •
CVE-2020-6197
https://notcve.org/view.php?id=CVE-2020-6197
SAP Enable Now, before version 1908, does not invalidate session tokens in a timely manner. The Insufficient Session Expiration may allow attackers with local access, for instance, to still download the portables. SAP Enable Now, versiones anteriores a la versión 1908, no invalida los tokens de sesión de forma oportuna. La Expiración de Sesión Insuficiente puede permitir a atacantes con acceso local, de momento, seguir descargando los portátiles. • https://launchpad.support.sap.com/#/notes/2845363 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-613: Insufficient Session Expiration •
CVE-2020-6178
https://notcve.org/view.php?id=CVE-2020-6178
SAP Enable Now, before version 1911, sends the Session ID cookie value in URL. This might be stolen from the browser history or log files, leading to Information Disclosure. SAP Enable Now, versiones anteriores la versión 1911, envía el valor de cookie Session ID en la URL. Esto puede ser robado del historial del navegador o de los archivos de registro, conllevando a una Divulgación de Información. • https://launchpad.support.sap.com/#/notes/2880664 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •