CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0357
https://notcve.org/view.php?id=CVE-2019-0357
10 Sep 2019 — The administrator of SAP HANA database, before versions 1.0 and 2.0, can misuse HANA to execute commands with operating system "root" privileges. El administrador de la base de datos de SAP HANA, versiones anteriores a 1.0 y 2.0, puede hacer un uso inapropiado de HANA para ejecutar comandos con privilegios "root" del sistema operativo. • https://launchpad.support.sap.com/#/notes/2829681 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0364
https://notcve.org/view.php?id=CVE-2019-0364
10 Sep 2019 — Attackers may misuse an HTTP/REST endpoint of SAP HANA Extended Application Services (Advanced model), before version 1.0.118, to enumerate open ports. Los atacantes pueden hacer un uso inapropiado de un end point HTTP/REST de SAP HANA Extended Application Services (modelo Avanzado), anteriores a versión 1.0.118, para enumerar los puertos abiertos. • https://launchpad.support.sap.com/#/notes/2817491 •
CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0363
https://notcve.org/view.php?id=CVE-2019-0363
10 Sep 2019 — Attackers may misuse an HTTP/REST endpoint of SAP HANA Extended Application Services (Advanced model), before version 1.0.118, to overload the server or retrieve information about internal network ports. Los atacantes pueden hacer un uso inapropiado de un end point HTTP/REST de SAP HANA Extended Application Services (modelo Avanzado), anteriores a versión 1.0.118, para sobrecargar el servidor o recuperar información sobre los puertos de red internos. • https://launchpad.support.sap.com/#/notes/2817491 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0306
https://notcve.org/view.php?id=CVE-2019-0306
12 Jun 2019 — SAP HANA Extended Application Services (advanced model), version 1, allows authenticated low privileged XS Advanced Platform users such as SpaceAuditors to execute requests to obtain a complete list of SAP HANA user IDs and names. Los Servicios de Aplicación Extendidos de SAP HANA (modelo avanzado), versión 1, permiten a los usuarios identificados de la Plataforma Avanzada XS con privilegios bajos, como SpaceAuditors, ejecutar solicitudes para obtener una lista completa de los identificadores y nombres de u... • https://launchpad.support.sap.com/#/notes/2771128 •
CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0284
https://notcve.org/view.php?id=CVE-2019-0284
10 Apr 2019 — SLD Registration in SAP HANA (fixed in versions 1.0, 2.0) does not sufficiently validate an XML document accepted from an untrusted source. The attacker can call SLDREG with an XML file containing a reference to an XML External Entity (XXE). This can cause SLDREG to, for example, continuously loop, read arbitrary files and even send local files. El registro de SLD en SAP HANA (corregido en las versiones 1.0, 2.0) no valida suficientemente un documento XML aceptado de una fuente no confiable. El atacante pue... • https://launchpad.support.sap.com/#/notes/2772376 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0277
https://notcve.org/view.php?id=CVE-2019-0277
12 Mar 2019 — SAP HANA extended application services, version 1, advanced does not sufficiently validate an XML document accepted from an authenticated developer with privileges to the SAP space (XML External Entity vulnerability). Los servicios de aplicación extendidos de SAP HANA, en su versión 1 avanzada, no validan de manera suficiente un documento XML que se recibe desde cualquier desarrollador autenticado con privilegios para el espacio SAP (vulnerabilidad XXE). • http://www.securityfocus.com/bid/107356 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0266
https://notcve.org/view.php?id=CVE-2019-0266
15 Feb 2019 — Under certain conditions SAP HANA Extended Application Services, version 1.0, advanced model (XS advanced) writes credentials of platform users to a trace file of the SAP HANA system. Even though this trace file is protected from unauthorized access, the risk of leaking information is increased. En determinadas condiciones, SAP HANA Extended Application Services, en su versión 1.0 de modelo avanzado (XS advanced) escribe las credenciales de los usuarios de la plataforma en un archivo de rastreo del sistema ... • http://www.securityfocus.com/bid/106988 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2497
https://notcve.org/view.php?id=CVE-2018-2497
11 Dec 2018 — The security audit log of SAP HANA, versions 1.0 and 2.0, does not log SELECT events if these events are part of a statement with the syntax CREATE TABLE <table_name> AS SELECT. El registro de auditoría de seguridad interna en SAP HANA 1.0 y 2.0 no registra los eventos SELECT si forman parte de una instrucción con la sintaxis CREATE TABLE AS SELECT. • http://www.securityfocus.com/bid/106152 •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2502
https://notcve.org/view.php?id=CVE-2018-2502
11 Dec 2018 — TRACE method is enabled in SAP Business One Service Layer . Attacker can use XST (Cross Site Tracing) attack if frontend applications that are using Service Layer has a XSS vulnerability. This has been fixed in SAP Business One Service Layer (B1_ON_HANA, versions 9.2, 9.3). El método TRACE está habilitado en SAP Business One Service Layer. Un atacante puede emplear un ataque XST (Cross-Site Tracing) si las aplicaciones del frontend que emplean Service Layer tienen una vulnerabilidad Cross-Site Scripting (XS... • http://www.securityfocus.com/bid/106173 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2465
https://notcve.org/view.php?id=CVE-2018-2465
11 Sep 2018 — SAP HANA (versions 1.0 and 2.0) Extended Application Services classic model OData parser does not sufficiently validate XML. By exploiting, an unauthorized hacker can cause the database server to crash. El analizador OData modelo clásico de SAP HANA (versiones 1.0 y 2.0) Extended Application Services no valida suficientemente los XML. Mediante su explotación, un hacker no autorizado podría provocar el cierre inesperado del servidor de la base de datos. • http://www.securityfocus.com/bid/105324 • CWE-20: Improper Input Validation •