CVSS: 6.1EPSS: 0%CPEs: 8EXPL: 0CVE-2021-21491
https://notcve.org/view.php?id=CVE-2021-21491
SAP Netweaver Application Server Java (Applications based on WebDynpro Java) versions 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, allow an attacker to redirect users to a malicious site due to Reverse Tabnabbing vulnerabilities. SAP Netweaver Application Server Java (Aplicaciones basadas en WebDynpro Java) versiones 7.00, 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, permiten a un atacante redireccionar a usuarios a un sitio malicioso debido a vulnerabilidades de Reverse Tabnabbing • https://launchpad.support.sap.com/#/notes/2976947 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-21488
https://notcve.org/view.php?id=CVE-2021-21488
Knowledge Management versions 7.01, 7.02, 7.30, 7.31, 7.40, 7.50 allows a remote attacker with basic privileges to deserialize user-controlled data without verification, leading to insecure deserialization which triggers the attacker’s code, therefore impacting Availability. Knowledge Management versiones 7.01, 7.02, 7.30, 7.31, 7.40, 7.50, permiten a un atacante remoto con privilegios básicos deserializar unos datos controlados por el usuario sin comprobación, conllevando a una deserialización no segura que desencadena el código del atacante y, por lo tanto, afecta la Disponibilidad • https://launchpad.support.sap.com/#/notes/2983436 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.6EPSS: 0%CPEs: 7EXPL: 0CVE-2021-21481
https://notcve.org/view.php?id=CVE-2021-21481
The MigrationService, which is part of SAP NetWeaver versions 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, does not perform an authorization check. This might allow an unauthorized attacker to access configuration objects, including such that grant administrative privileges. This could result in complete compromise of system confidentiality, integrity, and availability. MigrationService, que forma parte de SAP NetWeaver versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, no lleva a cabo una comprobación de autorización. Esto podría permitir a un atacante no autorizado acceder a los objetos de configuración, incluyendo los que otorgan privilegios administrativos. • https://launchpad.support.sap.com/#/notes/3022422 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=571343107 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-21475
https://notcve.org/view.php?id=CVE-2021-21475
Under specific circumstances SAP Master Data Management, versions - 710, 710.750, allows an unauthorized attacker to exploit insufficient validation of path information provided by users, thus characters representing 'traverse to parent directory' are passed through to the file APIs. Due to this Directory Traversal vulnerability the attacker could read content of arbitrary files on the remote server and expose sensitive data. En circunstancias específicas, SAP Master Data Management, versiones - 710, 710.750, permite a un atacante no autorizado explotar una comprobación insuficiente de la información de ruta proporcionada por los usuarios, por lo que los caracteres que representan "traverse to parent directory" son transferidos a las API de archivo. Debido a esta vulnerabilidad de Salto de Directorio, el atacante podría leer el contenido de archivos arbitrarios en el servidor remoto y exponer datos confidenciales • https://launchpad.support.sap.com/#/notes/3000897 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-21469
https://notcve.org/view.php?id=CVE-2021-21469
When security guidelines for SAP NetWeaver Master Data Management running on windows have not been thoroughly reviewed, it might be possible for an external operator to try and set custom paths in the MDS server configuration. When no adequate protection has been enforced on any level (e.g., MDS Server password not set, network and OS configuration not properly secured, etc.), a malicious user might define UNC paths which could then be exploited to put the system at risk using a so-called SMB relay attack and obtain highly sensitive data, which leads to Information Disclosure. Cuando las pautas de seguridad para SAP NetWeaver Master Data Management que se ejecutan en Windows no han sido revisadas a fondo, puede ser posible que un operador externo intente establecer rutas personalizadas en la configuración del servidor MDS. Cuando no ha sido aplicada una protección adecuada en ningún nivel (p. Ej., La contraseña del servidor MDS no se ha establecido, la configuración de la red y del sistema operativo no está apropiadamente protegida, etc.), un usuario malicioso puede definir rutas UNC que luego podrían ser explotadas para poner el sistema en riesgo usando un llamado ataque de retransmisión SMB y obtener datos altamente confidenciales, lo que conlleva a una divulgación de información • https://launchpad.support.sap.com/#/notes/2993032 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •