CVE-2021-41251
Possibility to elevate privileges or get unauthorized access to data
Em resumo
O SAP Cloud SDK podia armazenar configurações de destino sem informações adequadas do usuário, permitindo que outros usuários acessassem o mesmo destino e suas permissões. Isso afeta apenas sistemas que habilitaram explicitamente o cache de destinos, que está desabilitado por padrão.
Detalhe técnico
Vulnerabilidade de exposição de informações (CWE-200) no @sap-cloud-sdk/core versões anteriores à 1.52.0, onde o mecanismo de cache de destinos falha em associar corretamente o contexto do usuário, permitindo acesso não autorizado a destinos em cache e suas permissões associadas. Requer que o cache esteja explicitamente habilitado; mitigado desabilitando-o ou atualizando para versão corrigida.
Resumo gerado e traduzido por IA a partir da descrição oficial.
@sap-cloud-sdk/core contains the core functionality of the SAP Cloud SDK as well as the SAP Business Technology Platform abstractions. This affects applications on SAP Business Technology Platform that use the SAP Cloud SDK and enabled caching of destinations. In affected versions and in some cases, when user information was missing, destinations were cached without user information, allowing other users to retrieve the same destination with its permissions. By default, destination caching is disabled. The security for caching has been increased. The changes are released in version 1.52.0. Users unable to upgrade are advised to disable destination caching (it is disabled by default).
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
SAP · cloud-sdk-jsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →