CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2019-0279
https://notcve.org/view.php?id=CVE-2019-0279
ABAP BASIS function modules INST_CREATE_R3_RFC_DEST, INST_CREATE_TCPIP_RFCDEST, and INST_CREATE_TCPIP_RFC_DEST in SAP BASIS (fixed in versions 7.0 to 7.02, 7.10 to 7.30, 7.31, 7.40, 7.50 to 7.53) do not perform necessary authorization checks in all circumstances for an authenticated user, resulting in escalation of privileges. Los módulos de función ABAP BASIS INST_CREATE_R3_RFC_DEST, INST_CREATE_TCPIP_RFCDEST, e INST_CREATE_TCPIP_RFC_DEST en SAP BASIS (corregidos en las versiones 7.0 hasta 7.02, 7.10 hasta 7.30, 7.31, 7.50, 7.50 hasta 7.53) no realiza la comprobación de autorización necesaria en todas la circunstancias para un usuario autenticado, resultando en una escalada de privilegios. • https://launchpad.support.sap.com/#/notes/2753629 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114 • CWE-862: Missing Authorization •
CVSS: 8.0EPSS: 0%CPEs: 5EXPL: 0CVE-2018-2494
https://notcve.org/view.php?id=CVE-2018-2494
Necessary authorization checks for an authenticated user, resulting in escalation of privileges, have been fixed in SAP Basis AS ABAP of SAP NetWeaver 700 to 750, from 750 onwards delivered as ABAP Platform. Se han solucionado las comprobaciones de autorización necesarias para un usuario autenticado, que resultaban en un escalado de privilegios, en SAP Basis AS ABAP en SAP NetWeaver, del 700 al 750 y desde el 750, provistos como plataforma ABAP. • https://launchpad.support.sap.com/#/notes/2698996 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=508559699 • CWE-863: Incorrect Authorization •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2018-2367
https://notcve.org/view.php?id=CVE-2018-2367
ABAP File Interface in, SAP BASIS, from 7.00 to 7.02, from 7.10 to 7.11, 7.30, 7.31, 7.40, from 7.50 to 7.52, allows an attacker to exploit insufficient validation of path information provided by users, thus characters representing "traverse to parent directory" are passed through to the file APIs. ABAP File Interface en SAP BASIS, de la versión 7.00 a la 7.02, de la versión 7.10 a la 7.11, 7.30, 7.31, 7.40 y de la versión 7.50 a la 7.52, permite que un atacante explote la validación insuficiente de la información de ruta proporcionada por los usuarios, por lo que los caracteres que representan "salto al directorio padre" se pasan a las API de archivo. • http://www.securityfocus.com/bid/103006 https://blogs.sap.com/2018/02/13/sap-security-patch-day-february-2018 https://launchpad.support.sap.com/#/notes/2562089 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2018-2363
https://notcve.org/view.php?id=CVE-2018-2363
SAP NetWeaver, SAP BASIS from 7.00 to 7.02, from 7.10 to 7.11, 7.30, 7.31, 7.40, from 7.50 to 7.52, contains code that allows you to execute arbitrary program code of the user's choice. A malicious user can therefore control the behaviour of the system or can potentially escalate privileges by executing malicious code without legitimate credentials. SAP NetWeaver y SAP BASIS, desde la versión 7.00 hasta la 7.02, desde la 7.10 a la 7.11, 7.30, 7.31, 7.40 y desde la versión 7.50 a la 7.52, contiene código que permite ejecutar código arbitrario del programa a elección del usuario. Un usuario malicioso puede, por lo tanto, controlar el comportamiento del sistema o escalar privilegios mediante la ejecución de código malicioso sin credenciales legítimas. • http://www.securityfocus.com/bid/102449 https://blogs.sap.com/2018/01/09/sap-security-patch-day-january-2018 https://launchpad.support.sap.com/#/notes/1906212 https://launchpad.support.sap.com/#/notes/2525392 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2017-16682
https://notcve.org/view.php?id=CVE-2017-16682
SAP NetWeaver Internet Transaction Server (ITS), SAP Basis from 7.00 to 7.02, 7.30, 7.31, 7.40, from 7.50 to 7.52, allows an attacker with administrator credentials to inject code that can be executed by the application and thereby control the behavior of the application. SAP NetWeaver Internet Transaction Server (ITS), SAP Basis desde la versión 7.00 hasta la 7.02, 7.30, 7.31 y 7.40 y desde la versión 7.50 hasta la 7.52, permite que un atacante con credenciales de administrador inyecte código que puede ser ejecutado por la aplicación y así controlar el comportamiento de la aplicación. • http://www.securityfocus.com/bid/102143 https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017 https://launchpad.support.sap.com/#/notes/2526781 • CWE-94: Improper Control of Generation of Code ('Code Injection') •