CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0277
https://notcve.org/view.php?id=CVE-2019-0277
SAP HANA extended application services, version 1, advanced does not sufficiently validate an XML document accepted from an authenticated developer with privileges to the SAP space (XML External Entity vulnerability). Los servicios de aplicación extendidos de SAP HANA, en su versión 1 avanzada, no validan de manera suficiente un documento XML que se recibe desde cualquier desarrollador autenticado con privilegios para el espacio SAP (vulnerabilidad XXE). • http://www.securityfocus.com/bid/107356 https://launchpad.support.sap.com/#/notes/2764283 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=515408080 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0266
https://notcve.org/view.php?id=CVE-2019-0266
Under certain conditions SAP HANA Extended Application Services, version 1.0, advanced model (XS advanced) writes credentials of platform users to a trace file of the SAP HANA system. Even though this trace file is protected from unauthorized access, the risk of leaking information is increased. En determinadas condiciones, SAP HANA Extended Application Services, en su versión 1.0 de modelo avanzado (XS advanced) escribe las credenciales de los usuarios de la plataforma en un archivo de rastreo del sistema SAP HANA. Aunque este archivo está protegido contra accesos no autorizados, el riesgo de fuga de información aumenta. • http://www.securityfocus.com/bid/106988 https://launchpad.support.sap.com/#/notes/2724713 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=510922943 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.6EPSS: 0%CPEs: 1EXPL: 0CVE-2018-2451
https://notcve.org/view.php?id=CVE-2018-2451
XS Command-Line Interface (CLI) user sessions with the SAP HANA Extended Application Services (XS), version 1, advanced server may have an unintentional prolonged period of validity. Consequently, a platform user could access controller resources via active CLI session even after corresponding authorizations have been revoked meanwhile by an administrator user. Similarly, an attacker who managed to gain access to the platform user's session might misuse the session token even after the session has been closed. En las sesiones de usuario XS Command-Line Interface (CLI) con SAP HANA Extended Application Services (XS), versión 1, el servidor avanzado podría tener un período de validez prolongado no intencionado. En consecuencia, un usuario de la plataforma podría acceder a recursos del controlador mediante una sesión de la interfaz de línea de comandos activa incluso después de que las autorizaciones correspondientes hayan sido revocadas por un usuario administrador. • http://www.securityfocus.com/bid/105091 https://launchpad.support.sap.com/#/notes/2590705 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499352742 • CWE-613: Insufficient Session Expiration •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-2376
https://notcve.org/view.php?id=CVE-2018-2376
In SAP HANA Extended Application Services, 1.0, a controller user who has SpaceAuditor authorization in a specific space could retrieve application environments within that space. En SAP HANA Extended Application Services 1.0, un usuario controller que tenga la autorización SpaceAuditor en un espacio específico podría recuperar entornos de la aplicación en ese espacio. • https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018 https://launchpad.support.sap.com/#/notes/2589129 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-2373
https://notcve.org/view.php?id=CVE-2018-2373
Under certain circumstances, a specific endpoint of the Controller's API could be misused by unauthenticated users to execute SQL statements that deliver information about system configuration in SAP HANA Extended Application Services, 1.0. Bajo ciertas circunstancias, un endpoint específico de la API del controlador podría ser empleado erróneamente por usuarios no autenticados para ejecutar instrucciones SQL que envían información sobre la configuración del sistema en SAP HANA Extended Application Services 1.0. • https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018 https://launchpad.support.sap.com/#/notes/2589129 •