CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-21474
https://notcve.org/view.php?id=CVE-2021-21474
SAP HANA Database, versions - 1.0, 2.0, accepts SAML tokens with MD5 digest, an attacker who manages to obtain an MD5-digest signed SAML Assertion issued for an SAP HANA instance might be able to tamper with it and alter it in a way that the digest continues to be the same and without invalidating the digital signature, this allows them to impersonate as user in HANA database and be able to read the contents in the database. SAP HANA Database, versiones - 1.0, 2.0, acepta tokens SAML con un digest MD5, un atacante que logra obtener una afirmación SAML firmada por un digest MD5 emitida para una instancia de SAP HANA podría manipularla y alterarla de una manera que el digest sigue siendo el mismo y sin invalidar la firma digital, esto les permite hacerse pasar por usuario en la base de datos HANA y poder leer los contenidos en la base de datos • https://launchpad.support.sap.com/#/notes/2992154 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543 • CWE-326: Inadequate Encryption Strength •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0350
https://notcve.org/view.php?id=CVE-2019-0350
SAP HANA Database, versions 1.0, 2.0, allows an unauthorized attacker to send a malformed connection request, which crashes the indexserver of an SAP HANA instance, leading to Denial of Service SAP HANA Database, versiones 1.0, 2.0, permite a un atacante no autorizado enviar una petición de conexión malformada, que bloquea el indexserver de una instancia SAP HANA, conllevando a la denegación de servicio • https://launchpad.support.sap.com/#/notes/2798243 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=523998017 •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0357
https://notcve.org/view.php?id=CVE-2019-0357
The administrator of SAP HANA database, before versions 1.0 and 2.0, can misuse HANA to execute commands with operating system "root" privileges. El administrador de la base de datos de SAP HANA, versiones anteriores a 1.0 y 2.0, puede hacer un uso inapropiado de HANA para ejecutar comandos con privilegios "root" del sistema operativo. • https://launchpad.support.sap.com/#/notes/2829681 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=525962506 •
CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0284
https://notcve.org/view.php?id=CVE-2019-0284
SLD Registration in SAP HANA (fixed in versions 1.0, 2.0) does not sufficiently validate an XML document accepted from an untrusted source. The attacker can call SLDREG with an XML file containing a reference to an XML External Entity (XXE). This can cause SLDREG to, for example, continuously loop, read arbitrary files and even send local files. El registro de SLD en SAP HANA (corregido en las versiones 1.0, 2.0) no valida suficientemente un documento XML aceptado de una fuente no confiable. El atacante puede llamar a SLDREG con un archivo XML que contiene una referencia a una entidad externa XML (XXE). • https://launchpad.support.sap.com/#/notes/2772376 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2497
https://notcve.org/view.php?id=CVE-2018-2497
The security audit log of SAP HANA, versions 1.0 and 2.0, does not log SELECT events if these events are part of a statement with the syntax CREATE TABLE <table_name> AS SELECT. El registro de auditoría de seguridad interna en SAP HANA 1.0 y 2.0 no registra los eventos SELECT si forman parte de una instrucción con la sintaxis CREATE TABLE AS SELECT. • http://www.securityfocus.com/bid/106152 https://launchpad.support.sap.com/#/notes/2704878 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=508559699 •