CVE-2020-6287
Оценки
Оценка EPSS
0.9439
CVSS
3.x 10.0
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Вектор: AV:N/AC:L/Au:N/C:C/I:C/A:C
Описание
SAP NetWeaver AS JAVA (LM Configuration Wizard), версии - 7.30, 7.31, 7.40, 7.50, не выполняет проверку аутентификации, которая позволяет злоумышленнику без предварительной проверки выполнять задачи конфигурации для выполнения критических действий против системы SAP Java, включая возможность создания административного пользователя, и, следовательно, компрометировать конфиденциальность, целостность и доступность системы, что приводит к проверке пропустить Auth.
Источники
CWE
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2020-6287
Источник: github-poc
URL: https://github.com/dylvie/CVE-2020-6287_SAP-NetWeaver-bypass-auth
Справочные ссылки
Уязвимое ПО
Тип: Конфигурация
Поставщик: sap
Продукт: netweaver_application_server_java
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:sap:netweaver_application_server_java:7.30:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:sap:netweaver_application_server_java:7.31:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:sap:netweaver_application_server_java:7.40:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:*",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd