CVE-2016-2386
CVE-2016-2386
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 71.1%KEV simPoC públicaPatch —
Ciclo de vida
16 feb 2016Publicada en NVD
19 may 2016PoC pública
09 jun 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla en el servidor UDDI de SAP NetWeaver permite que atacantes inyecten comandos SQL maliciosos sin autenticación, posibilitando acceso completo a la base de datos y todos los datos sensibles almacenados.
Detalle técnico
Vulnerabilidad de inyección SQL en el componente UDDI del motor SAP NetWeaver J2EE versión 7.40, explotable a través de vectores de entrada no especificados, permitiendo ejecución remota de comandos arbitrarios en el contexto de la base de datos. El ataque requiere acceso de red al servicio UDDI; la explotación exitosa resulta en compromiso total de la base de datos incluyendo robo y modificación de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
SQL injection vulnerability in the UDDI server in SAP NetWeaver J2EE Engine 7.40 allows remote attackers to execute arbitrary SQL commands via unspecified vectors, aka SAP Security Note 2101079.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 6
githubgithub.com/murataydemir/CVE-2016-2386★ 2cve_referencepacketstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlno verificadocve_referencewww.exploit-db.com/exploits/39840/no verificadocve_referencewww.exploit-db.com/exploits/43495/no verificadoexploitdbwww.exploit-db.com/exploits/43495no verificadoexploitdbwww.exploit-db.com/exploits/39840no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/137129/SAP-NetWeaver-AS-JAVA-7.5-SQL-Injection.htmlhttp://seclists.org/fulldisclosure/2016/May/56https://erpscan.io/advisories/erpscan-16-011-sap-netweaver-7-4-sql-injection-vulnerability/https://erpscan.io/press-center/blog/sap-security-notes-february-2016-review/https://github.com/vah13/SAP_exploithttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-2386https://www.exploit-db.com/exploits/39840/https://www.exploit-db.com/exploits/43495/