Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Sap›Приложениеnvd

Business Objects Business Intelligence Platform

Уязвимости

18

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.75615

Распределение по критичности

Критический

1

Высокий

5

Средний

12

Низкий

0

Также сопоставлено как (исходные строки): business_objects_business_intelligence_platform

Топ уязвимостей

CVE-2024-41730В SAP BusinessObjects Business Intelligence Platform, если в аутентификации Enterprise включен Single Signed On, неавторизованный пользователь может получить токен входа в систему, используя конечную точку REST. Злоумышленник может полностью скомпрометировать систему, что приведет к высокому воздействию на конфиденциальность, целостность и доступность.

CVE-2023-25617SAP Business Object (Adaptive Job Server) - версии 420, 430, позволяет удаленно выполнять произвольные команды в Unix, когда выполнение program objects включено, аутентифицированным пользователям с правами планирования, используя BI Launchpad, Central Management Console или пользовательское приложение на основе общедоступного java SDK. Программы могут повлиять на конфиденциальность, целостность и доступность системы.

CVE-2023-25616В некоторых сценариях SAP Business Objects Business Intelligence Platform (CMC) - версии 420, 430, выполнение Program Object может привести к уязвимости внедрения кода, которая может позволить злоумышленнику получить доступ к ресурсам, разрешенным дополнительными привилегиями. Успешная атака может сильно повлиять на конфиденциальность, целостность и доступность системы.

CVE-2022-41267SAP Business Objects Platform - версии 420 и 430, позволяет злоумышленнику с обычными привилегиями пользователя BI загружать/заменять любые файлы на сервере Business Objects на уровне операционной системы, позволяя злоумышленнику получить полный контроль над системой, что оказывает сильное воздействие на конфиденциальность, целостность и доступность приложения.

CVE-2023-42478SAP Business Objects Business Intelligence Platform уязвим для хранимого XSS, что позволяет злоумышленнику загружать агностические документы в систему, которые при открытии любым другим пользователем могут привести к серьезным последствиям для целостности приложения.

CVE-2022-39013При определенных условиях аутентифицированный злоумышленник может получить доступ к учетным данным ОС. Получение доступа к учетным данным ОС позволяет злоумышленнику изменять системные данные и делать систему недоступной, что приводит к высокому воздействию на конфиденциальность и низкому воздействию на целостность и доступность приложения.

CVE-2022-39015При определенных условиях BOE AdminTools/ BOE SDK позволяет злоумышленнику получить доступ к информации, доступ к которой в противном случае был бы ограничен.

CVE-2022-24398При определенных условиях SAP Business Objects Business Intelligence Platform - версии 420, 430, позволяет аутентифицированному злоумышленнику получить доступ к информации, доступ к которой в противном случае был бы ограничен.

CVE-2022-31596При определенных условиях злоумышленник, аутентифицированный как администратор CMS и имеющий высокий уровень доступа к сети в SAP BusinessObjects Business Intelligence Platform (Monitoring DB) - версия 430, может получить доступ к базе данных BOE Monitoring для извлечения и изменения (не личных) системных данных, которые в противном случае были бы ограничены. Кроме того, потенциальная атака может быть использована для выхода за пределы CMS и воздействия на базу данных. Успешная атака может оказать низкое воздействие на конфиденциальность, высокое воздействие на целостность и низкое воздействие на доступность.

CVE-2023-23856В SAP BusinessObjects Business Intelligence (пользовательский интерфейс Web Intelligence) - версия 430, некоторые вызовы возвращают json с неправильным типом контента в заголовке ответа. В результате пользовательское приложение, которое вызывает непосредственно jsp Web Intelligence DHTML, может быть уязвимо для XSS-атак. В случае успешной эксплуатации злоумышленник может оказать незначительное влияние на целостность приложения.

CVE-2023-0015В SAP BusinessObjects Business Intelligence Platform (пользовательский интерфейс Web Intelligence) - версия 420, некоторые вызовы возвращают json с неправильным типом контента в заголовке ответа. В результате пользовательское приложение, которое вызывает непосредственно jsp Web Intelligence DHTML, может быть уязвимо для XSS-атак. В случае успешной эксплуатации злоумышленник может оказать ограниченное воздействие на конфиденциальность и целостность приложения.

CVE-2022-31598Из-за недостаточной проверки входных данных SAP Business Objects - версия 420, позволяет аутентифицированному злоумышленнику отправлять вредоносный запрос через разрешенную операцию. В случае успешной эксплуатации злоумышленник может просматривать или изменять информацию, что оказывает ограниченное воздействие на конфиденциальность и целостность приложения.

CVE-2020-6220BI Launchpad и CMC в SAP Business Objects Business Intelligence Platform, версии 4.1, 4.2, недостаточно кодируют вводимые пользователем данные, что приводит к уязвимости межсайтового скриптинга (XSS). Эксплуатация возможна только в том случае, если bttoken в сеансе жертвы активен.

CVE-2022-32246SAP Busines Objects Business Intelligence Platform (Visual Difference Application) - версии 420, 430, позволяет аутентифицированному злоумышленнику, имеющему доступ к консоли администратора BI, отправлять специально созданные запросы и извлекать данные из SQL-бэкэнда. В случае успешной эксплуатации злоумышленник может оказать ограниченное воздействие на конфиденциальность и целостность приложения.

CVE-2024-42375SAP BusinessObjects Business Intelligence Platform позволяет аутентифицированному злоумышленнику загружать вредоносный код по сети, который может быть выполнен приложением. В случае успешной эксплуатации злоумышленник может оказать незначительное влияние на целостность приложения.

CVE-2024-41731SAP BusinessObjects Business Intelligence Platform позволяет аутентифицированному злоумышленнику загружать вредоносный код по сети, который может быть выполнен приложением. В случае успешной эксплуатации злоумышленник может оказать низкое воздействие на целостность приложения.

CVE-2024-28166SAP BusinessObjects Business Intelligence Platform позволяет аутентифицированному злоумышленнику загружать вредоносный код по сети, который может быть выполнен приложением. В случае успешной эксплуатации злоумышленник может оказать незначительное влияние на целостность приложения.

CVE-2022-41263Из-за отсутствия проверки подлинности SAP Business Objects Business Intelligence Platform (Web Intelligence) - версии 420, 430, позволяет аутентифицированному злоумышленнику, не являющемуся администратором, изменять информацию об источнике данных для документа, который в противном случае ограничен. В случае успешной эксплуатации злоумышленник может изменять информацию, что оказывает ограниченное воздействие на целостность приложения.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →