CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2021-33687
https://notcve.org/view.php?id=CVE-2021-33687
SAP NetWeaver AS JAVA (Enterprise Portal), versions - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50 reveals sensitive information in one of their HTTP requests, an attacker can use this in conjunction with other attacks such as XSS to steal this information. SAP NetWeaver AS JAVA (Enterprise Portal), versiones - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50, revela información confidencial en una de sus peticiones HTTP, un atacante puede usar esto en conjunto con otros ataques como de tipo XSS para robar esta información • http://packetstormsecurity.com/files/164600/SAP-Enterprise-Portal-Sensitive-Data-Disclosure.html http://seclists.org/fulldisclosure/2021/Oct/32 https://launchpad.support.sap.com/#/notes/3059764 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-33689
https://notcve.org/view.php?id=CVE-2021-33689
When user with insufficient privileges tries to access any application in SAP NetWeaver Administrator (Administrator applications), version - 7.50, no security audit log is created. Therefore, security audit log Integrity is impacted. Cuando un usuario con privilegios insuficientes intenta acceder a cualquier aplicación en SAP NetWeaver Administrator (Administrator applications), versión - 7.50, no es creado ningún registro de auditoría de seguridad. Por lo tanto, la integridad del registro de auditoría de seguridad está impactada • https://launchpad.support.sap.com/#/notes/3038594 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506 • CWE-778: Insufficient Logging •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2021-33670
https://notcve.org/view.php?id=CVE-2021-33670
SAP NetWeaver AS for Java (Http Service Monitoring Filter), versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, allows an attacker to send multiple HTTP requests with different method types thereby crashing the filter and making the HTTP server unavailable to other legitimate users leading to denial of service vulnerability. SAP NetWeaver AS for Java (Http Service Monitoring Filter), versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante enviar múltiples peticiones HTTP con diferentes tipos de métodos, bloqueando así el filtro y haciendo que el servidor HTTP no esté disponible para otros usuarios legítimos, conllevando a una vulnerabilidad denegación de servicio • http://packetstormsecurity.com/files/166965/SAP-NetWeaver-Java-Denial-Of-Service.html http://seclists.org/fulldisclosure/2022/May/4 https://launchpad.support.sap.com/#/notes/3056652 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506 •
CVSS: 9.0EPSS: 0%CPEs: 5EXPL: 0CVE-2021-27635
https://notcve.org/view.php?id=CVE-2021-27635
SAP NetWeaver AS for JAVA, versions - 7.20, 7.30, 7.31, 7.40, 7.50, allows an attacker authenticated as an administrator to connect over a network and submit a specially crafted XML file in the application because of missing XML Validation, this vulnerability enables attacker to fully compromise confidentiality by allowing them to read any file on the filesystem or fully compromise availability by causing the system to crash. The attack cannot be used to change any data so that there is no compromise as to integrity. SAP NetWeaver AS para JAVA, versiones - 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante autenticado como administrador conectarse a través de una red y enviar un archivo XML especialmente diseñado en la aplicación debido a que falta la comprobación XML; esta vulnerabilidad habilita al atacante comprometer completamente la confidencialidad al permitirles leer cualquier archivo en el sistema de archivos o comprometer completamente la disponibilidad al causar que el sistema se bloquee. El ataque no puede ser usado para cambiar ningún dato, de modo que no se comprometa la integridad • http://packetstormsecurity.com/files/164592/SAP-JAVA-NetWeaver-System-Connections-XML-Injection.html http://seclists.org/fulldisclosure/2021/Oct/28 https://launchpad.support.sap.com/#/notes/3053066 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-27621
https://notcve.org/view.php?id=CVE-2021-27621
Information Disclosure vulnerability in UserAdmin application in SAP NetWeaver Application Server for Java, versions - 7.11,7.20,7.30,7.31,7.40 and 7.50 allows attackers to access restricted information by entering malicious server name. Una vulnerabilidad de divulgación de información en la aplicación UserAdmin en SAP NetWeaver Application Server para Java, versiones - 7.11,7.20,7.30,7.31,7.40 y 7.50, permite a atacantes acceder a información restringida al ingresar el nombre del servidor malicioso • https://launchpad.support.sap.com/#/notes/3023299 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999 •