Informazioni sul CVE-2023-40309
Missing Authorization check in SAP CommonCryptoLib
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2023-40309
Descrizione: SAP CommonCryptoLib does not perform necessary authentication checks, which may result in missing or wrong authorization checks for an authenticated user, resulting in escalation of privileges. Depending on the application and the level of privileges acquired, an attacker could abuse functionality restricted to a particular user group as well as read, modify or delete restricted data.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://me.sap.com/notes/3340576
- https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Prodotti interessati
- SAP_SE – SAP CommonCryptoLib
- SAP_SE – SAP NetWeaver AS ABAP, SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise
- SAP_SE – SAP Web Dispatcher
- SAP_SE – SAP Content Server
- SAP_SE – SAP HANA Database
- SAP_SE – SAP Host Agent
- SAP_SE – SAP Extended Application Services and Runtime (XSA)
- SAP_SE – SAPSSOEXT
Relazioni con altri prodotti
Produttore:SAP_SE
Prodotto: SAP Web Dispatcher
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP Host Agent
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP CommonCryptoLib
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP NetWeaver AS ABAP
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP NetWeaver AS Java and ABAP Platform of S/4HANA on-premise
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP Content Server
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP HANA Database
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAP Extended Application Services and Runtime (XSA)
Anno: 2023
CWE: CWE-863
CVSS: 0.0
Produttore:SAP_SE
Prodotto: SAPSSOEXT
Anno: 2023
CWE: CWE-863
CVSS: 0.0