CVE-2022-26105
https://notcve.org/view.php?id=CVE-2022-26105
SAP NetWeaver Enterprise Portal - versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, is susceptible to script execution attack by an unauthenticated attacker due to improper sanitization of the user inputs while interacting on the Network. On successful exploitation, an attacker can view or modify information causing a limited impact on confidentiality and integrity of the application. SAP NetWeaver Enterprise Portal - versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, es susceptible de sufrir un ataque de ejecución de scripts por parte de un atacante no autenticado debido a la incorrecta sanitización de las entradas del usuario mientras interactúa en la Red. Si es explotado con éxito, un atacante puede visualizar o modificar la información causando un impacto limitado en la confidencialidad e integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3163583 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24397
https://notcve.org/view.php?id=CVE-2022-24397
SAP NetWeaver Enterprise Portal - versions 7.30, 7.31, 7.40, 7.50, does not sufficiently encode user-controlled inputs, resulting in reflected Cross-Site Scripting (XSS) vulnerability.This reflected cross-site scripting attack can be used to non-permanently deface or modify displayed content of portal Website. The execution of the script content by a victim registered on the portal could compromise the confidentiality and integrity of victim’s web browser. SAP NetWeaver Enterprise Portal - versiones 7.30, 7.31, 7.40, 7.50, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad de tipo cross-Site Scripting (XSS) reflejado. La ejecución del contenido del script por parte de una víctima registrada en el portal podría comprometer la confidencialidad e integridad del navegador web de la víctima • https://dam.sap.com/mac/embed/public/pdf/a/ucQrx6G.htm?rc=10 https://launchpad.support.sap.com/#/notes/3146260 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24395
https://notcve.org/view.php?id=CVE-2022-24395
SAP NetWeaver Enterprise Portal - versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, does not sufficiently encode user-controlled inputs, resulting in reflected Cross-Site Scripting (XSS) vulnerability. SAP NetWeaver Enterprise Portal - versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad de tipo cross-Site Scripting (XSS) reflejado • https://dam.sap.com/mac/embed/public/pdf/a/ucQrx6G.htm?rc=10 https://launchpad.support.sap.com/#/notes/3146261 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-33705
https://notcve.org/view.php?id=CVE-2021-33705
The SAP NetWeaver Portal, versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, component Iviews Editor contains a Server-Side Request Forgery (SSRF) vulnerability which allows an unauthenticated attacker to craft a malicious URL which when clicked by a user can make any type of request (e.g. POST, GET) to any internal or external server. This can result in the accessing or modification of data accessible from the Portal but will not affect its availability. El componente Iviews Editor del SAP NetWeaver Portal, versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, contiene una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) que permite a un atacante no autenticado diseñar una URL maliciosa que cuando un usuario hace clic en él puede hacer cualquier tipo de petición (por ejemplo, POST, GET) a cualquier servidor interno o externo. Esto puede resultar en el acceso o la modificación de los datos accesibles desde el Portal, pero no afectará a su disponibilidad • http://packetstormsecurity.com/files/165743/SAP-Enterprise-Portal-iviewCatcherEditor-Server-Side-Request-Forgery.html http://seclists.org/fulldisclosure/2022/Jan/72 https://launchpad.support.sap.com/#/notes/3074844 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2021-33691
https://notcve.org/view.php?id=CVE-2021-33691
NWDI Notification Service versions - 7.31, 7.40, 7.50, does not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability.SAP NetWeaver Development Infrastructure Notification Service allows a threat actor to send crafted scripts to a victim. If the victim has an active session when the crafted script gets executed, the threat actor could compromise information in victims session, and gain access to some sensitive information also. NWDI Notification Service versiones - 7.31, 7.40, 7.50, no codifican suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS). SAP NetWeaver Development Infrastructure Notification Service permite a un actor de la amenaza enviar scripts diseñados a una víctima. Si la víctima presenta una sesión activa cuando el script diseñado es ejecutado, el actor de la amenaza podría comprometer la información en la sesión de las víctimas, y conseguir acceso a alguna información confidencial también • https://launchpad.support.sap.com/#/notes/3073450 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •