CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2008-3358
https://notcve.org/view.php?id=CVE-2008-3358
Cross-site scripting (XSS) vulnerability in Web Dynpro (WD) in the SAP NetWeaver portal, when Internet Explorer 7.0.5730 is used, allows remote attackers to inject arbitrary web script or HTML via a crafted URI, which causes the XSS payload to be reflected in a text/plain document. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el Web Dynpro (WD) en el portal SAP NetWeaver, cuando se usa con Internet Explorer v7.0.5730, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de una URI manipulada, lo que provoca que la carga XSS sea reflejada en un documento de texto plano. • http://osvdb.org/51627 http://secunia.com/advisories/33685 http://service.sap.com/sap/support/notes/1235253 http://www.csnc.ch/misc/files/advisories/CVE-2008-3358.txt http://www.securityfocus.com/archive/1/500415/100/0/threaded http://www.securityfocus.com/bid/33465 http://www.securitytracker.com/id?1021638 http://www.vupen.com/english/advisories/2009/0255 https://exchange.xforce.ibmcloud.com/vulnerabilities/48237 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1846
https://notcve.org/view.php?id=CVE-2008-1846
The default configuration of SAP NetWeaver before 7.0 SP15 does not enable the "Always Use Secure HTML Editor" (aka Editor Security or Secure Editing) parameter, which allows remote attackers to conduct cross-site scripting (XSS) attacks by entering feedback for a file. La configuración por defecto de AP NetWeaver versiones anteriores a 7.0 SP15 no permite el parámetro "Always Use Secure HTML Editor" (también conocido como Editor Security or Secure Editing), lo cual permite a atacantes remotos llevar a cabo un ataque de secuencias de comandos en sitios cruzados (XSS) introduciendo feedback para un archivo. • http://securityreason.com/securityalert/3812 http://www.aitsec.com/vulnerability-SAP-Netweaver-6.40-7.0-Cross-Site-Scripting.php http://www.securityfocus.com/archive/1/490625/100/0/threaded http://www.securityfocus.com/bid/28699 http://www.securitytracker.com/id?1019822 https://exchange.xforce.ibmcloud.com/vulnerabilities/41735 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 0CVE-2007-3496
https://notcve.org/view.php?id=CVE-2007-3496
Cross-site scripting (XSS) vulnerability in SAP Web Dynpro Java (BC-WD-JAV) in SAP NetWeaver Nw04 SP15 through SP19 and Nw04s SP7 through SP11, aka SAP Java Technology Services 640 before SP20 and SAP Web Dynpro Runtime Core Components 700 before SP12, allows remote attackers to inject arbitrary web script or HTML via the User-Agent HTTP header. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en SAP Web Dynpro Java (BC-WD-JAV) en SAP NetWeaver Nw04 SP15 hasta SP19 y Nw04s SP7 hasta SP11, también conocido como SAP Java TEchnology Services 640 anterior a SP20 y SAP Web Dynpro Runtime Core Components 700 anterior a SP12, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de la cabecera HTTP User-Agent. • http://osvdb.org/37748 http://secunia.com/advisories/25866 http://securityreason.com/securityalert/2850 http://www.csnc.ch/advisory/sap01.html http://www.securityfocus.com/archive/1/472341/100/0/threaded http://www.vupen.com/english/advisories/2007/2381 •