Во время проверки авторизации в SAP Human Capital Management для SAP S/4HANA система возвращает конкретные сообщения. Из-за этого аутентифи…
Во время проверки авторизации в SAP Human Capital Management для SAP S/4HANA система возвращает конкретные сообщения. Из-за этого аутентифицированный пользователь с низкими привилегиями мог угадать и перечислить показанный контент за пределами их авторизованной области. Это приводит к раскрытию конфиденциальной информации, вызывающей большое влияние на конфиденциальность, в то время как целостность и доступность не затрагиваются.
Продукт предоставляет различные ответы на входящие запросы таким образом, что это раскрывает информацию о внутреннем состоянии неавторизованному субъекту, находящемуся вне предусмотренной сферы управления.
https://cwe.mitre.org/data/definitions/204.html →Открыть в коллекции CWE →Злоумышленник отправляет UDP-пакет на закрытый порт целевого компьютера, чтобы получить в ответном ICMP-сообщении об ошибке «Port Unreachable» значение поля общей длины IP-заголовка. Такое поведение полезно для построения базы сигнатур ответов операционных систем, особенно когда сообщения об ошибках содержат другие типы информации, полезные для идентификации конкретных ответов операционных систем.
https://capec.mitre.org/data/definitions/331.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму с назначенным значением поля идентификации (ID) в интернет-заголовке на закрытый порт цели, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Это позволяет злоумышленнику построить отпечаток конкретных поведений ОС.
https://capec.mitre.org/data/definitions/332.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия по снятию отпечатка с целью определения типа или версии приложения, установленного на удалённой цели.
https://capec.mitre.org/data/definitions/541.html →Открыть в коллекции CAPEC →Злоумышленник проводит активное зондирование и разведку для получения сведений безопасности об удалённой целевой системе. Нередко злоумышленники опираются на удалённые приложения, допускающие зондирование конфигураций системы.
https://capec.mitre.org/data/definitions/580.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| human_capital_management | * | Отслеживается |