CVE-2021-21474
https://notcve.org/view.php?id=CVE-2021-21474
SAP HANA Database, versions - 1.0, 2.0, accepts SAML tokens with MD5 digest, an attacker who manages to obtain an MD5-digest signed SAML Assertion issued for an SAP HANA instance might be able to tamper with it and alter it in a way that the digest continues to be the same and without invalidating the digital signature, this allows them to impersonate as user in HANA database and be able to read the contents in the database. SAP HANA Database, versiones - 1.0, 2.0, acepta tokens SAML con un digest MD5, un atacante que logra obtener una afirmación SAML firmada por un digest MD5 emitida para una instancia de SAP HANA podría manipularla y alterarla de una manera que el digest sigue siendo el mismo y sin invalidar la firma digital, esto les permite hacerse pasar por usuario en la base de datos HANA y poder leer los contenidos en la base de datos • https://launchpad.support.sap.com/#/notes/2992154 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543 • CWE-326: Inadequate Encryption Strength •
CVE-2019-0350
https://notcve.org/view.php?id=CVE-2019-0350
SAP HANA Database, versions 1.0, 2.0, allows an unauthorized attacker to send a malformed connection request, which crashes the indexserver of an SAP HANA instance, leading to Denial of Service SAP HANA Database, versiones 1.0, 2.0, permite a un atacante no autorizado enviar una petición de conexión malformada, que bloquea el indexserver de una instancia SAP HANA, conllevando a la denegación de servicio • https://launchpad.support.sap.com/#/notes/2798243 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=523998017 •
CVE-2018-2424
https://notcve.org/view.php?id=CVE-2018-2424
SAP UI5 did not validate user input before adding it to the DOM structure. This may lead to malicious user-provided JavaScript code being added to the DOM that could steal user information. Software components affected are: SAP Hana Database 1.00, 2.00; SAP UI5 1.00; SAP UI5 (Java) 7.30, 7.31, 7.40, 7,50; SAP UI 7.40, 7.50, 7.51, 7.52, and version 2.0 of SAP UI for SAP NetWeaver 7.00 SAP UI5 no validó las entradas de usuario antes de añadirlas a la estructura DOM. Esto podría conducir a que se añada al DOM código JavaScript malicioso proporcionado por el usuario que podría robar información del usuario. Los componentes de software afectados son: SAP Hana Database 1.00, 2.00; SAP UI5 1.00; SAP UI5 (Java) 7.30, 7.31, 7.40, 7,50; SAP UI 7.40, 7.50, 7.51, 7.52 y la versión 2.0 de SAP UI para SAP NetWeaver 7.00 • http://www.securityfocus.com/bid/104459 https://launchpad.support.sap.com/#/notes/2538856 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=495289255 • CWE-20: Improper Input Validation •
CVE-2017-16687
https://notcve.org/view.php?id=CVE-2017-16687
The user self-service tools of SAP HANA extended application services, classic user self-service, a part of SAP HANA Database versions 1.00 and 2.00, can be misused to enumerate valid and invalid user accounts. An unauthenticated user could use the error messages to determine if a given username is valid. Las herramientas de autoservicio del usuario de los servicios extendidos de la aplicación SAP HANA, que forman parte de SAP HANA Database en sus versiones 1.00 y 2.00, pueden ser empleadas erróneamente para enumerar cuentas de usuario válidas e inválidas. Un usuario no autenticado podría emplear los mensajes de error para determinar si un nombre de usuario dado es válido. • http://www.securityfocus.com/bid/102152 https://blogs.sap.com/2017/12/12/sap-security-patch-day-december-2017 https://launchpad.support.sap.com/#/notes/2549983 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •