CVE-2021-44234
https://notcve.org/view.php?id=CVE-2021-44234
SAP Business One - version 10.0, extended log stores information that can be of a sensitive nature and give valuable guidance to an attacker or expose sensitive user information. SAP Business One - versión 10.0, el registro extendido almacena información que puede ser de naturaleza confidencial y dar una valiosa orientación a un atacante o exponer información confidencial del usuario • https://launchpad.support.sap.com/#/notes/3106528 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2021-42066
https://notcve.org/view.php?id=CVE-2021-42066
SAP Business One - version 10.0, allows an admin user to view DB password in plain text over the network, which should otherwise be encrypted. For an attacker to discover vulnerable function in-depth application knowledge is required, but once exploited the attacker may be able to completely compromise confidentiality, integrity, and availability of the application. SAP Business One - versión 10.0, permite a un usuario administrador ver la contraseña de la base de datos en texto plano a través de la red, que de otro modo debería estar cifrada. Para que un atacante detecte la función vulnerable se requiere un conocimiento profundo de la aplicación, pero una vez explotado el atacante puede ser capaz de comprometer completamente la confidencialidad, integridad y disponibilidad de la aplicación • https://launchpad.support.sap.com/#/notes/3101299 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035 • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2021-38180
https://notcve.org/view.php?id=CVE-2021-38180
SAP Business One - version 10.0, allows an attacker to inject formulas when exporting data to Excel (CSV injection) due to improper sanitation during the data export. An attacker could thereby execute arbitrary commands on the victim's computer but only if the victim allows to execute macros while opening the file and the security settings of Excel allow for command execution. SAP Business One - versión 10.0, permite a un atacante inyectar fórmulas cuando se exportan datos a Excel (inyección CSV) debido a un saneo inapropiado durante la exportación de datos. Un atacante podría así ejecutar comandos arbitrarios en el ordenador de la víctima, pero sólo si ésta permite ejecutar macros mientras abre el archivo y la configuración de seguridad de Excel permite una ejecución de comandos • https://launchpad.support.sap.com/#/notes/3079427 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVE-2021-38179
https://notcve.org/view.php?id=CVE-2021-38179
Debug function of Admin UI of SAP Business One Integration is enabled by default. This allows Admin User to see the captured packet contents which may include User credentials. La función de depuración de la Interfaz de Usuario de administración de SAP Business One Integration está habilitada por defecto. Esto permite al usuario administrador visualizar el contenido del paquete capturado, que puede incluir las credenciales del Usuario • https://launchpad.support.sap.com/#/notes/3074819 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983 •
CVE-2021-33704
https://notcve.org/view.php?id=CVE-2021-33704
The Service Layer of SAP Business One, version - 10.0, allows an authenticated attacker to invoke certain functions that would otherwise be restricted to specific users. For an attacker to discover the vulnerable function, no in-depth system knowledge is required. Once exploited via Network stack, the attacker may be able to read, modify or delete restricted data. The impact is that missing authorization can result of abuse of functionality usually restricted to specific users. La Capa de Servicio de SAP Business One, versión - 10.0, permite a un atacante autenticado invocar determinadas funciones que de otra manera estarían restringidas a usuarios específicos. • https://launchpad.support.sap.com/#/notes/3078072 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-862: Missing Authorization •