La variante Paradise Ransomware se esconde en archivos Place of work IQY



Vulnerabilidades empresariales
De la foundation de datos de vulnerabilidad nacional de DHS / US-CERT

CVE-2020-6210
PUBLICADO: 2020-03-10

SAP Fiori Launchpad, versiones 753, 754, no codifica suficientemente las entradas controladas por el usuario y, por lo tanto, permite que el atacante inyecte la metaetiqueta en el html de la plataforma de lanzamiento utilizando el parámetro vulnerable, lo que genera una vulnerabilidad de Cross-Web-site Scripting (XSS) reflejada.

CVE-2020-6199
PUBLICADO: 2020-03-10

La vista FIMENAV_COMPCERT en SAP ERP (MENA Certificate Management), EAPPGLO versión 607, SAP_FIN versiones-618, 730 y SAP S / 4HANA (MENA Certification Administration), S4Main versiones-100, 101, 102, 103, 104 no tiene ninguna verificación de autorización debido a que un atacante sin una autorización g …

CVE-2020-6200
PUBLICADO: 2020-03-10

SAP Commerce (SmartEdit Extension), versiones 6.6, 6.7, 1808, 1811, es vulnerable a la inyección de plantilla angularjs del lado del cliente, una variante de Cross-Website-Scripting (XSS) que explota las instalaciones de plantillas del marco angular.

CVE-2020-6201
PUBLICADO: 2020-03-10

SAP Commerce (Testweb Extension), versiones 6.6, 6.7, 1808, 1811, 1905, no codifica suficientemente las entradas controladas por el usuario, debido a que ciertos parámetros GET URL se reflejan en las respuestas HTTP sin escapar / desinfección, lo que lleva a Reflected Cross Web page Scripting.

CVE-2020-6202
PUBLICADO: 2020-03-10

Servidor de aplicaciones SAP NetWeaver Java (Motor de administración de usuarios), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 no valida lo suficiente el documento XML de configuración de fuente de datos LDAP aceptado de una fuente no confiable, lo que lleva a la falta de validación XML.





Enlace a la noticia initial