← volver
CVE-2010-5326

CVE-2010-5326

CVSS 10 CRITICALEPSS 17.9%● KEVCWE-306
Vexday Risk Score
63Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 10EPSS 17.9%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
13 may 2016Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

El Servlett Invoker de SAP NetWeaver permite que cualquier persona en internet ejecute código sin autenticarse, posibilitando que los atacantes tomen control total del servidor.

Detalle técnico

El Invoker Servlet en SAP NetWeaver Application Server Java (versiones anteriores a 7.3) carece de controles de autenticación (CWE-306), permitiendo ejecución remota de código no autenticado mediante solicitudes HTTP/HTTPS. Esta vulnerabilidad fue explotada activamente entre 2013-2016 y permite ejecución arbitraria de código con privilegios completos del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
The Invoker Servlet on SAP NetWeaver Application Server Java platforms, possibly before 7.3, does not require authentication, which allows remote attackers to execute arbitrary code via an HTTP or HTTPS request, as exploited in the wild in 2013 through 2016, aka a "Detour" attack.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://service.sap.com/sap/support/notes/1445998https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-5326https://www.onapsis.com/threat-report-tip-iceberg-wild-exploitation-cyber-attacks-sap-business-applicationshttp://www.onapsis.com/research/publications/sap-security-in-depth-vol4-the-invoker-servlet-a-dangerous-detour-into-sap-java-solutionshttp://www.securityfocus.com/bid/48925http://www.securityfocus.com/bid/90533http://www.us-cert.gov/ncas/alerts/TA16-132A