Avisos 02 de October, 2013

Vulnerabilitat d'injecció SQL a SAP NetWeaver 7

S'ha descobert una vulnerabilitat d'injecció de codi SQL a SAP Netweaver 7.30.

Impacte
 
Accés a informació i possible modificació de dades.
 
Productes afectats
 
SAP Netweaver 7.30 (Basis 720 SP 0, Kernel 720 patch 68)
 
Solució
 
Pel que sembla el problema està solucionat, però Symantec no ho ha confirmat. Poseu-vos en contacte amb el proveïdor per obtenir més informació.
 
Detall
 
Vulnerabilitat  d'injecció SQL a SAP NetWeaver 7.30 , deguda a que no es filtren adequadament les dades proporcionades per l'usuari abans d'usar-les en una consulta SQL.
Un atacant remot pot aprofitar aquest problema mitjançant la manipulació de la lògica de consulta SQL per realitzar accions no autoritzades a la base de dades subjacent.
 
Referències
Nota de seguretat SAP1840249
[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE – SQL Injection
Publicat a: Avisos