CVSS: 4.7EPSS: 0%CPEs: 5EXPL: 0CVE-2022-41215
https://notcve.org/view.php?id=CVE-2022-41215
SAP NetWeaver ABAP Server and ABAP Platform allows an unauthenticated attacker to redirect users to a malicious site due to insufficient URL validation. This could lead to the user being tricked to disclose personal information. SAP NetWeaver ABAP Server y ABAP Platform permiten que un atacante no autenticado redirija a los usuarios a un sitio malicioso debido a una validación de URL insuficiente. Esto podría llevar a que se engañe al usuario para que revele información personal. • https://launchpad.support.sap.com/#/notes/3251202 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41208
https://notcve.org/view.php?id=CVE-2022-41208
Due to insufficient input validation, SAP Financial Consolidation - version 1010, allows an authenticated attacker with user privileges to alter current user session. On successful exploitation, the attacker can view or modify information, causing a limited impact on confidentiality and integrity of the application. Debido a una validación de entrada insuficiente, SAP Financial Consolidation, versión 1010, permite que un atacante autenticado con privilegios de usuario altere la sesión del usuario actual. Si la explotación tiene éxito, el atacante puede ver o modificar información, lo que provoca un impacto limitado en la confidencialidad y la integridad de la aplicación. • https://launchpad.support.sap.com/#/notes/3260708 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41259
https://notcve.org/view.php?id=CVE-2022-41259
SAP SQL Anywhere - version 17.0, allows an authenticated attacker to prevent legitimate users from accessing a SQL Anywhere database server by crashing the server with some queries that use an ARRAY constructor. SAP SQL Anywhere versión 17.0, permite a un atacante autenticado evitar que usuarios legítimos accedan a un servidor de base de datos SQL Anywhere bloqueando el servidor con algunas consultas que utilizan un constructor ARRAY. • https://launchpad.support.sap.com/#/notes/3229987 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41260
https://notcve.org/view.php?id=CVE-2022-41260
SAP Financial Consolidation - version 1010, does not sufficiently encode user-controlled input which may allow an unauthenticated attacker to inject a web script via a GET request. On successful exploitation, an attacker can view or modify information causing a limited impact on confidentiality and integrity of the application. SAP Financial Consolidation, versión 1010, no codifica suficientemente la entrada controlada por el usuario, lo que puede permitir que un atacante no autenticado inyecte un script web a través de una solicitud GET. Si la explotación tiene éxito, un atacante puede ver o modificar información causando un impacto limitado en la confidencialidad y la integridad de la aplicación. • https://launchpad.support.sap.com/#/notes/3260708 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-41205
https://notcve.org/view.php?id=CVE-2022-41205
SAP GUI allows an authenticated attacker to execute scripts in the local network. On successful exploitation, the attacker can gain access to registries which can cause a limited impact on confidentiality and high impact on availability of the application. SAP GUI permite a un atacante autenticado ejecutar scripts en la red local. Si la explotación tiene éxito, el atacante puede obtener acceso a los registros, lo que puede causar un impacto limitado en la confidencialidad y un alto impacto en la disponibilidad de la aplicación. • https://launchpad.support.sap.com/#/notes/3237251 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •