SAP NetWeaver和Web Dynpro Portal跨站脚本执行漏洞

2009-02-02T00:00:00
ID SSV:4693
Type seebug
Reporter Root
Modified 2009-02-02T00:00:00

Description

BUGTRAQ ID: 33465

SAP NetWeaver是一种企业IT系统整合管理系统。

SAP NetWeaver的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞控制应用系统。

SAP NetWeaver没有对用户提交的数据做充分的检查过滤,远程攻击者可能在输入中插入来意脚本代码,使用此应用的其他用户客户端浏览器可能会执行攻击者提交脚本代码,构成跨站脚本执行攻击。Web Dynpro Portal应用也存在类似的问题。

SAP NetWeaver 4.x 厂商补丁:

SAP

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.sap.com/platform/netweaver/index.epx target=_blank rel=external nofollow>http://www.sap.com/platform/netweaver/index.epx</a> <a href=https://www.sdn.sap.com/irj/sdn/webdynpro target=_blank rel=external nofollow>https://www.sdn.sap.com/irj/sdn/webdynpro</a>