CVE-2022-31589
https://notcve.org/view.php?id=CVE-2022-31589
Due to improper authorization check, business users who are using Israeli File from SHAAM program (/ATL/VQ23 transaction), are granted more than needed authorization to perform certain transaction, which may lead to users getting access to data that would otherwise be restricted. Debido a una comprobación inapropiada de la autorización, a los usuarios de la empresa usando el programa Israeli File from SHAAM (transacción /ATL/VQ23), les es concedida más autorización de la necesaria para llevar a cabo determinadas transacciones, lo que puede conllevar a que usuarios tengan acceso a datos que de otro modo estarían restringidos • https://launchpad.support.sap.com/#/notes/3203065 https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html • CWE-863: Incorrect Authorization •
CVE-2021-38164
https://notcve.org/view.php?id=CVE-2021-38164
SAP ERP Financial Accounting (RFOPENPOSTING_FR) versions - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105, allows a registered attacker to invoke certain functions that would otherwise be restricted to specific users. These functions are normally exposed over the network and once exploited the attacker may be able to view and modify financial accounting data that only a specific user should have access to. SAP ERP Financial Accounting (RFOPENPOSTING_FR) versiones - SAP_APPL - 600, 602, 603, 604, 605, 606, 616, SAP_FIN - 617, 618, 700, 720, 730, SAPSCORE - 125, S4CORE, 100, 101, 102, 103, 104, 105, permiten a un atacante registrado invocar determinadas funciones que de otro modo estarían restringidas a usuarios específicos. Estas funciones suelen estar expuestas a través de la red y, una vez explotadas, el atacante puede ser capaz de visualizar y modificar datos de contabilidad financiera a los que sólo debería tener acceso un usuario específico • https://launchpad.support.sap.com/#/notes/3068582 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405 • CWE-862: Missing Authorization •
CVE-2020-6316
https://notcve.org/view.php?id=CVE-2020-6316
SAP ERP and SAP S/4 HANA allows an authenticated user to see cost records to objects to which he has no authorization in PS reporting, leading to Missing Authorization check. SAP ERP y SAP S/4 HANA, permiten a un usuario autenticado visualizar los registros de costos de objetos para los que no cuenta con autorización en los reportes de PS, conllevando a una Falta de Comprobación de Autorización • https://launchpad.support.sap.com/#/notes/2944188 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=562725571 • CWE-862: Missing Authorization •