CVE-2010-5326
CVE-2010-5326
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 10EPSS 17.9%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
13 mai 2016Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Servente Invoker do SAP NetWeaver permite que qualquer pessoa na internet execute código sem fazer login, possibilitando que atacantes assumam o controle total do servidor.
Detalhe técnico
O Invoker Servlet no SAP NetWeaver Application Server Java (versões anteriores a 7.3) não implementa controles de autenticação (CWE-306), permitindo execução remota de código não autenticado via requisições HTTP/HTTPS. Esta vulnerabilidade foi explorada ativamente entre 2013-2016 e possibilita execução de código arbitrário com privilégios totais do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Invoker Servlet on SAP NetWeaver Application Server Java platforms, possibly before 7.3, does not require authentication, which allows remote attackers to execute arbitrary code via an HTTP or HTTPS request, as exploited in the wild in 2013 through 2016, aka a "Detour" attack.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://service.sap.com/sap/support/notes/1445998https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2010-5326https://www.onapsis.com/threat-report-tip-iceberg-wild-exploitation-cyber-attacks-sap-business-applicationshttp://www.onapsis.com/research/publications/sap-security-in-depth-vol4-the-invoker-servlet-a-dangerous-detour-into-sap-java-solutionshttp://www.securityfocus.com/bid/48925http://www.securityfocus.com/bid/90533http://www.us-cert.gov/ncas/alerts/TA16-132A