CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0357
https://notcve.org/view.php?id=CVE-2019-0357
The administrator of SAP HANA database, before versions 1.0 and 2.0, can misuse HANA to execute commands with operating system "root" privileges. El administrador de la base de datos de SAP HANA, versiones anteriores a 1.0 y 2.0, puede hacer un uso inapropiado de HANA para ejecutar comandos con privilegios "root" del sistema operativo. • https://launchpad.support.sap.com/#/notes/2829681 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=525962506 •
CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-0284
https://notcve.org/view.php?id=CVE-2019-0284
SLD Registration in SAP HANA (fixed in versions 1.0, 2.0) does not sufficiently validate an XML document accepted from an untrusted source. The attacker can call SLDREG with an XML file containing a reference to an XML External Entity (XXE). This can cause SLDREG to, for example, continuously loop, read arbitrary files and even send local files. El registro de SLD en SAP HANA (corregido en las versiones 1.0, 2.0) no valida suficientemente un documento XML aceptado de una fuente no confiable. El atacante puede llamar a SLDREG con un archivo XML que contiene una referencia a una entidad externa XML (XXE). • https://launchpad.support.sap.com/#/notes/2772376 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=517899114 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2497
https://notcve.org/view.php?id=CVE-2018-2497
The security audit log of SAP HANA, versions 1.0 and 2.0, does not log SELECT events if these events are part of a statement with the syntax CREATE TABLE <table_name> AS SELECT. El registro de auditoría de seguridad interna en SAP HANA 1.0 y 2.0 no registra los eventos SELECT si forman parte de una instrucción con la sintaxis CREATE TABLE AS SELECT. • http://www.securityfocus.com/bid/106152 https://launchpad.support.sap.com/#/notes/2704878 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=508559699 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2465
https://notcve.org/view.php?id=CVE-2018-2465
SAP HANA (versions 1.0 and 2.0) Extended Application Services classic model OData parser does not sufficiently validate XML. By exploiting, an unauthorized hacker can cause the database server to crash. El analizador OData modelo clásico de SAP HANA (versiones 1.0 y 2.0) Extended Application Services no valida suficientemente los XML. Mediante su explotación, un hacker no autorizado podría provocar el cierre inesperado del servidor de la base de datos. • http://www.securityfocus.com/bid/105324 https://launchpad.support.sap.com/#/notes/2681207 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993 • CWE-20: Improper Input Validation •
CVSS: 8.4EPSS: 0%CPEs: 2EXPL: 0CVE-2018-2402
https://notcve.org/view.php?id=CVE-2018-2402
In systems using the optional capture & replay functionality of SAP HANA, 1.00 and 2.00, (see SAP Note 2362820 for more information about capture & replay), user credentials may be stored in clear text in the indexserver trace files of the control system. An attacker with the required authorizations on the control system may be able to access the user credentials and gain unauthorized access to data in the captured or target system. En sistemas que empleen la funcionalidad opcional de captura por reproducción en SAP HANA, en versiones 1.00 y 2.00 (véase SAP Note 2362820 para más información sobre la captura por reproducción), las credenciales de usuario podrían almacenarse en texto claro en los archivos de trazas indexserver del sistema de control. Un atacante con las autorizaciones requeridas en el sistema de control podría acceder a las credenciales de usuario y obtener acceso no autorizado a los datos en el sistema capturado u objetivo. • http://www.securityfocus.com/bid/103369 https://blogs.sap.com/2018/03/13/sap-security-patch-day-march-2018 https://launchpad.support.sap.com/#/notes/2587369 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •