CVSS: 8.2EPSS: 0%CPEs: 5EXPL: 0CVE-2020-6367
https://notcve.org/view.php?id=CVE-2020-6367
There is a reflected cross site scripting vulnerability in SAP NetWeaver Composite Application Framework, versions - 7.20, 7.30, 7.31, 7.40, 7.50. An unauthenticated attacker can trick an unsuspecting authenticated user to click on a malicious link. The end users browser has no way to know that the script should not be trusted, and will execute the script, resulting in sensitive information being disclosed or modified. Se presenta una vulnerabilidad de tipo cross site scripting reflejado en SAP NetWeaver Composite Application Framework, versiones - 7.20, 7.30, 7.31, 7.40, 7.50. Un atacante no autenticado puede engañar a un usuario autenticado desprevenido para que hacer clic en un enlace malicioso. • https://launchpad.support.sap.com/#/notes/2972661 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.6EPSS: 0%CPEs: 5EXPL: 0CVE-2020-6366
https://notcve.org/view.php?id=CVE-2020-6366
SAP NetWeaver (Compare Systems) versions - 7.20, 7.30, 7.40, 7.50, does not sufficiently validate uploaded XML documents. An attacker with administrative privileges can retrieve arbitrary files including files on OS level from the server and/or can execute a denial-of-service. SAP NetWeaver (Compare Systems): versiones 7.20, 7.30, 7.40, 7.50, no comprueban suficientemente los documentos XML cargados. Un atacante con privilegios administrativos puede recuperar archivos arbitrarios, incluyendo archivos a nivel de Sistema Operativo, desde el servidor y/o puede ejecutar una denegación de servicio • https://launchpad.support.sap.com/#/notes/2969457 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2020-6365
https://notcve.org/view.php?id=CVE-2020-6365
SAP NetWeaver AS Java, versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, Start Page allows an unauthenticated remote attacker to redirect users to a malicious site due to insufficient reverse tabnabbing URL validation. The attacker could execute phishing attacks to steal credentials of the victim or to redirect users to untrusted web pages containing malware or similar malicious exploits. SAP NetWeaver AS Java, versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, la página de inicio permite a un atacante remoto no autenticado redireccionar a usuarios hacia un sitio malicioso debido a una comprobación insuficiente de URL de tabnabbing inverso. El atacante podría ejecutar ataques de phishing para robar las credenciales de la víctima o para redireccionar a los usuarios hacia páginas web no confiables que contienen malware o explotaciones maliciosos similares • https://launchpad.support.sap.com/#/notes/2969828 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-6371
https://notcve.org/view.php?id=CVE-2020-6371
User enumeration vulnerability can be exploited to get a list of user accounts and personal user information can be exposed in SAP NetWeaver Application Server ABAP (POWL test application) versions - 710, 711, 730, 731, 740, 750, leading to Information Disclosure. Una vulnerabilidad de enumeración de usuarios puede ser explotada para obtener una lista de cuentas de usuario y la información personal del usuario puede ser expuesta en SAP NetWeaver Application Server ABAP (aplicación de prueba POWL): versiones 710, 711, 730, 731, 740, 750, conllevando a una Divulgación de Información • https://launchpad.support.sap.com/#/notes/2963137 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2020-6319
https://notcve.org/view.php?id=CVE-2020-6319
SAP NetWeaver Application Server Java, versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, and 7.50 allows an unauthenticated attacker to include JavaScript blocks in any web page or URL with different symbols which are otherwise not allowed. On successful exploitation an attacker can steal authentication information of the user, such as data relating to his or her current session and limitedly impact confidentiality and integrity of the application, leading to Reflected Cross Site Scripting. SAP NetWeaver Application Server Java, versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50, permite a un atacante no autenticado incluir bloques de JavaScript en cualquier página web o URL con diferentes símbolos que de otro modo no están permitidos. En una explotación con éxito, un atacante puede robar información de autenticación del usuario, tal y como datos relacionados con su sesión actual e impactar de manera limitada la confidencialidad e integridad de la aplicación, conllevando a una vulnerabilidad de tipo Cross Site Scripting Reflejado • https://launchpad.support.sap.com/#/notes/2956398 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •