CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0284
https://notcve.org/view.php?id=CVE-2019-0284
SLD Registration in SAP HANA (fixed in versions 1.0, 2.0) does not sufficiently validate an XML document accepted from an untrusted source. The attacker can call SLDREG with an XML file containing a reference to an XML External Entity (XXE). This can cause SLDREG to, for example, continuously loop, read arbitrary files and even send local files. El registro de SLD en SAP HANA (corregido en las versiones 1.0, 2.0) no valida suficientemente un documento XML aceptado de una fuente no confiable. El atacante puede llamar a SLDREG con un archivo XML que contiene una referencia a una entidad externa XML (XXE). • https://launchpad.support.sap.com/#/notes/2772376 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0277
https://notcve.org/view.php?id=CVE-2019-0277
SAP HANA extended application services, version 1, advanced does not sufficiently validate an XML document accepted from an authenticated developer with privileges to the SAP space (XML External Entity vulnerability). Los servicios de aplicación extendidos de SAP HANA, en su versión 1 avanzada, no validan de manera suficiente un documento XML que se recibe desde cualquier desarrollador autenticado con privilegios para el espacio SAP (vulnerabilidad XXE). • http://www.securityfocus.com/bid/107356 https://launchpad.support.sap.com/#/notes/2764283 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=515408080 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0266
https://notcve.org/view.php?id=CVE-2019-0266
Under certain conditions SAP HANA Extended Application Services, version 1.0, advanced model (XS advanced) writes credentials of platform users to a trace file of the SAP HANA system. Even though this trace file is protected from unauthorized access, the risk of leaking information is increased. En determinadas condiciones, SAP HANA Extended Application Services, en su versión 1.0 de modelo avanzado (XS advanced) escribe las credenciales de los usuarios de la plataforma en un archivo de rastreo del sistema SAP HANA. Aunque este archivo está protegido contra accesos no autorizados, el riesgo de fuga de información aumenta. • http://www.securityfocus.com/bid/106988 https://launchpad.support.sap.com/#/notes/2724713 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=510922943 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2497
https://notcve.org/view.php?id=CVE-2018-2497
The security audit log of SAP HANA, versions 1.0 and 2.0, does not log SELECT events if these events are part of a statement with the syntax CREATE TABLE <table_name> AS SELECT. El registro de auditoría de seguridad interna en SAP HANA 1.0 y 2.0 no registra los eventos SELECT si forman parte de una instrucción con la sintaxis CREATE TABLE AS SELECT. • http://www.securityfocus.com/bid/106152 https://launchpad.support.sap.com/#/notes/2704878 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=508559699 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2465
https://notcve.org/view.php?id=CVE-2018-2465
SAP HANA (versions 1.0 and 2.0) Extended Application Services classic model OData parser does not sufficiently validate XML. By exploiting, an unauthorized hacker can cause the database server to crash. El analizador OData modelo clásico de SAP HANA (versiones 1.0 y 2.0) Extended Application Services no valida suficientemente los XML. Mediante su explotación, un hacker no autorizado podría provocar el cierre inesperado del servidor de la base de datos. • http://www.securityfocus.com/bid/105324 https://launchpad.support.sap.com/#/notes/2681207 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993 • CWE-20: Improper Input Validation •