← voltar
CVE-2020-6207

CVE-2020-6207

CVSS 10 CRITICALEPSS 98.4%● KEVCWE-306
Em resumo

O SAP Solution Manager versão 7.2 possui um serviço que não exige autenticação, permitindo que qualquer pessoa assuma controle total de todos os agentes de monitoramento conectados sem precisar de credenciais.

Detalhe técnico

A falha CWE-306 (Verificação de Autenticação Ausente) no User Experience Monitoring do SAP Solution Manager 7.2 permite acesso não autenticado a um serviço, comprometendo todos os SMDAgents conectados à instância. Não há pré-requisitos de credenciais ou autorização prévia; exploração remota é possível.

Resumo gerado e traduzido por IA a partir da descrição oficial.
SAP Solution Manager (User Experience Monitoring), version- 7.2, due to Missing Authentication Check does not perform any authentication for a service resulting in complete compromise of all SMDAgents connected to the Solution Manager.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
SAP SE · SAP Solution Manager (User Experience Monitoring)
PoCs públicas encontradas4
githubgithub.com/chipik/SAP_EEM_CVE-2020-620782cve_referencepacketstormsecurity.com/files/161993/SAP-Solution-Manager-7.2-Remote-Command-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/162083/SAP-SMD-Agent-Unauthenticated-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/163168/SAP-Solution-Manager-7.20-Missing-Authorization.htmlnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/161993/SAP-Solution-Manager-7.2-Remote-Command-Execution.htmlhttp://packetstormsecurity.com/files/162083/SAP-SMD-Agent-Unauthenticated-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/163168/SAP-Solution-Manager-7.20-Missing-Authorization.htmlhttp://seclists.org/fulldisclosure/2021/Apr/4http://seclists.org/fulldisclosure/2021/Jun/34https://launchpad.support.sap.com/#/notes/2890213https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=540935305https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-6207