CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-39800
https://notcve.org/view.php?id=CVE-2022-39800
SAP BusinessObjects BI LaunchPad - versions 420, 430, is susceptible to script execution attack by an unauthenticated attacker due to improper sanitization of the user inputs while interacting on the network. On successful exploitation, an attacker can view or modify information causing a limited impact on confidentiality and integrity of the application. SAP BusinessObjects BI LaunchPad - versiones 420, 430, es susceptible de sufrir un ataque de ejecución de scripts por parte de un atacante no autenticado debido a un saneo inapropiado de las entradas del usuario mientras interactúa en la red. Si es explotado con éxito, un atacante puede ver o modificar información causando un impacto limitado en la Confidencialidad e integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3211161 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.2EPSS: 0%CPEs: 2EXPL: 0CVE-2022-32244
https://notcve.org/view.php?id=CVE-2022-32244
Under certain conditions an attacker authenticated as a CMS administrator access the BOE Commentary database and retrieve (non-personal) system data, modify system data but can't make the system unavailable. This needs the attacker to have high privilege access to the same physical/logical network to access information which would otherwise be restricted, leading to low impact on confidentiality and high impact on integrity of the application. Bajo determinadas condiciones, un atacante autenticado como administrador del CMS puede acceder a la base de datos de comentarios del BOE y recuperar datos del sistema (no personales), modificar datos del sistema pero no puede hacer que el sistema no esté disponible. Esto requiere que el atacante tenga un acceso de alto privilegio a la misma red física/lógica para acceder a la información que de otro modo estaría restringida, conllevando a un bajo impacto en la confidencialidad y un alto impacto en la integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3213524 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.2EPSS: 0%CPEs: 2EXPL: 0CVE-2022-32245
https://notcve.org/view.php?id=CVE-2022-32245
SAP BusinessObjects Business Intelligence Platform (Open Document) - versions 420, 430, allows an unauthenticated attacker to retrieve sensitive information plain text over the network. On successful exploitation, the attacker can view any data available for a business user and put load on the application by an automated attack. Thus, completely compromising confidentiality but causing a limited impact on the availability of the application. SAP BusinessObjects Business Intelligence Platform (Open Document) - versiones 420, 430, permite a un atacante no autenticado recuperar información confidencial en texto plano a través de la red. Si es explotado con éxito, el atacante puede visualizar cualquier dato disponible para un usuario de la empresa y poner en carga la aplicación mediante un ataque automatizado. • https://launchpad.support.sap.com/#/notes/3210823 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-35228
https://notcve.org/view.php?id=CVE-2022-35228
SAP BusinessObjects CMC allows an unauthenticated attacker to retrieve token information over the network which would otherwise be restricted. This can be achieved only when a legitimate user accesses the application and a local compromise occurs, like sniffing or social engineering. On successful exploitation, the attacker can completely compromise the application. SAP BusinessObjects CMC permite a un atacante no autenticado recuperar información de tokens a través de la red que, de otro modo, estaría restringida. Esto sólo puede lograrse cuando un usuario legítimo accede a la aplicación y es producido un compromiso local, como el sniffing o la ingeniería social. • https://launchpad.support.sap.com/#/notes/3221288 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2022-35169
https://notcve.org/view.php?id=CVE-2022-35169
SAP BusinessObjects Business Intelligence Platform (LCM) - versions 420, 430, allows an attacker with an admin privilege to read and decrypt LCMBIAR file's password under certain conditions, enabling the attacker to modify the password or import the file into another system causing high impact on confidentiality but a limited impact on the availability and integrity of the application. SAP BusinessObjects Business Intelligence Platform (LCM) - versiones 420, 430, permite a un atacante con un privilegio de administrador leer y descifrar la contraseña del archivo LCMBIAR bajo determinadas condiciones, permitiendo al atacante modificar la contraseña o importar el archivo a otro sistema causando un alto impacto en la confidencialidad pero un impacto limitado en la disponibilidad e integridad de la aplicación • https://launchpad.support.sap.com/#/notes/3194361 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •