CVE-2021-38163
CVE-2021-38163
Em resumo
Uma falha no SAP NetWeaver permite que um usuário comum carregue um arquivo malicioso que executa com permissões do servidor Java, possibilitando que invasores roubem dados, modifiquem arquivos ou derrubem o sistema.
Detalhe técnico
Vulnerabilidade de path traversal (CWE-22) no SAP NetWeaver Visual Composer 7.0 RT (versões 7.30–7.50) permite que usuários autenticados não-administradores façam upload e executem arquivos arbitrários com privilégios do servidor Java. O atacante consegue execução remota de código para ler/modificar dados sensíveis ou realizar negação de serviço.
Resumo gerado e traduzido por IA a partir da descrição oficial.
SAP NetWeaver (Visual Composer 7.0 RT) versions - 7.30, 7.31, 7.40, 7.50, without restriction, an attacker authenticated as a non-administrative user can upload a malicious file over a network and trigger its processing, which is capable of running operating system commands with the privilege of the Java Server process. These commands can be used to read or modify any information on the server or shut the server down making it unavailable.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
SAP SE · SAP NetWeaver (Visual Composer 7.0 RT)PoCs públicas encontradas — 2
githubgithub.com/core1impact/CVE-2021-38163★ 4githubgithub.com/purpleteam-ru/CVE-2021-38163★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →