Acceso remoto a ficheros arbitrarios en SAP NetWeaver

Iniciado por wolfbcn, 29 Octubre 2012, 16:08 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Se ha publicado una vulnerabilidad en SAP NetWeaver que podría permitir a un atacante remoto leer cualquier archivo del sistema afectado.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP, que tiene el objetivo de lograr una mejor integración entre ellas, utilizar estándares para asegurar la interoperabilidad, aportar flexibilidad, y reducir costes. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

La vulnerabilidad está provocada por un error en el parser PMI XML cuando valida peticiones XML. Un atacante podría aprovechar este problema para leer cualquier archivo local.

SAP ha publicado un aviso (SAP Note 1721309) en el que informa sobre esta vulnerabilidad.

Más información:

SAP Note 1721309 https://service.sap.com/sap/support/notes/1721309

ERPScan (DSECRG-12-037): http://erpscan.com/advisories/dsecrg-12-037-sap-netweaver-pmi-agent-configuration-xml-external-entity/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/acceso-remoto-a-ficheros-arbitrarios-en-sap-netweaver
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.