CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2022-22534
https://notcve.org/view.php?id=CVE-2022-22534
Due to insufficient encoding of user input, SAP NetWeaver allows an unauthenticated attacker to inject code that may expose sensitive data like user ID and password. These endpoints are normally exposed over the network and successful exploitation can partially impact confidentiality of the application. Debido a una codificación insuficiente de la entrada del usuario, SAP NetWeaver permite a un atacante no autenticado inyectar código que puede exponer datos confidenciales como el ID de usuario y la contraseña. Estos endpoints están normalmente expuestos a través de la red y una explotación con éxito puede impactar parcialmente la confidencialidad de la aplicación • https://launchpad.support.sap.com/#/notes/3124994 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 28EXPL: 0CVE-2021-42067
https://notcve.org/view.php?id=CVE-2021-42067
In SAP NetWeaver AS for ABAP and ABAP Platform - versions 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 786, an attacker authenticated as a regular user can use the S/4 Hana dashboard to reveal systems and services which they would not normally be allowed to see. No information alteration or denial of service is possible. En SAP NetWeaver AS for ABAP y ABAP Platform - versiones 701, 702, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 786, un atacante autenticado como usuario normal puede usar el cuadro de mandos de S/4 Hana para revelar sistemas y servicios que normalmente no se le permitiría ver. No es posible la alteración de la información ni la denegación de servicio • https://launchpad.support.sap.com/#/notes/3112710 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035 •
CVSS: 7.2EPSS: 0%CPEs: 15EXPL: 0CVE-2021-44235
https://notcve.org/view.php?id=CVE-2021-44235
Two methods of a utility class in SAP NetWeaver AS ABAP - versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, allow an attacker with high privileges and has direct access to SAP System, to inject code when executing with a certain transaction class builder. This could allow execution of arbitrary commands on the operating system, that could highly impact the Confidentiality, Integrity and Availability of the system. Dos métodos de una clase de utilidad en SAP NetWeaver AS ABAP - versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, permiten a un atacante con altos privilegios y que tenga acceso directo al sistema SAP, inyectar código cuando es ejecutado con un determinado constructor de clases de transacción. Esto podría permitir la ejecución de comandos arbitrarios en el sistema operativo, que podrían impactar altamente la Confidencialidad, Integridad y Disponibilidad del sistema • https://launchpad.support.sap.com/#/notes/3123196 https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.9EPSS: 0%CPEs: 15EXPL: 0CVE-2021-40504
https://notcve.org/view.php?id=CVE-2021-40504
A certain template role in SAP NetWeaver Application Server for ABAP and ABAP Platform - versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, contains transport authorizations, which exceed expected display only permissions. Un determinado rol de plantilla en SAP NetWeaver Application Server para ABAP y ABAP Platform - versiones 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, contiene autorizaciones de transporte, que exceden los permisos esperados de sólo visualización • https://launchpad.support.sap.com/#/notes/3105728 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2021-38183
https://notcve.org/view.php?id=CVE-2021-38183
SAP NetWeaver - versions 700, 701, 702, 730, does not sufficiently encode user-controlled inputs, allowing an attacker to cause a potential victim to supply a malicious content to a vulnerable web application, which is then reflected to the victim and executed by the web browser, resulting in Cross-Site Scripting vulnerability. SAP NetWeaver - versiones 700, 701, 702, 730, no codifica suficientemente las entradas controladas por el usuario, permitiendo a un atacante causar que una víctima potencial suministre un contenido malicioso a una aplicación web vulnerable, que luego es reflejado a la víctima y ejecutado por el navegador web, resultando en una vulnerabilidad de tipo Cross-Site Scripting • https://launchpad.support.sap.com/#/notes/3084937 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •