Elevación de privilegios en SAP Netweaver

Fecha de publicación:

27/05/2015

Importancia:

4 - Alta

Recursos afectados:

SAP NetWeaver AS Java

Descripción:

Se ha identificado una vulnerabilidad de elevación de privilegios en el componente XML Request Handle de SAP Netweaver SML, el cual afecta a la confidencialidad, integridad y disponibilidad del sistema.

Solución:

Se ha publicado un parche que corrige la vulnerabilidad. Es necesario contactar con el fabricante para obtenerlo.

Detalle:

El problema reside en el analizador de XML que valida todas las peticiones XML con un DTD especificado por el usuario, de modo que es posible que un atacante remoto lleve a cabo una elevación de privilegios mediante el envío de peticiones TCP especialmente diseñadas a los servidores de la intranet.

Se ha asignado el identifiador CVE-2015-4091.

Referencias:

VulDB: SAP NetWeaver XML Request Handler Intranet escalada de privilegios

Etiquetas:

SAP

Vulnerabilidad

Accesos corporativos

Elevación de privilegios en SAP Netweaver

PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux

Limitación incorrecta de la ruta a un directorio restringido en Liferay Portal

Múltiples vulnerabilidades en Moodle

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager