Katalog CVE

CVE-2026-27674

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W wyniku podatności na wstrzykiwanie kodu w SAP NetWeaver Application Server Java (Web Dynpro Java), nieautoryzowany atakujący może dostarczyć spreparowane dane, które są interpretowane przez aplikację, co prowadzi do odwołania się do treści kontrolowanej przez atakującego. Jeśli ofiara uzyska dostęp do dotkniętej funkcjonalności, ta treść może zostać wykonana w przeglądarce ofiary.

Ocena ryzyka

Może to prowadzić do kompromitacji sesji, co pozwala atakującemu na wykonanie dowolnego kodu po stronie klienta, wpływając na poufność i integralność aplikacji, bez wpływu na dostępność.

Rekomendacja

Zaleca się aktualizację SAP NetWeaver do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby ograniczyć możliwość wstrzykiwania kodu.

Oryginalny opis (angielski, źródło NVD)

Due to a Code Injection vulnerability in SAP NetWeaver Application Server Java (Web Dynpro Java), an unauthenticated attacker could supply crafted input that is interpreted by the application and causes it to reference attacker-controlled content. If a victim accesses the affected functionality, that attacker-controlled content could be executed in the victim�s browser, potentially resulting in session compromise. This could allow the attacker to execute arbitrary client-side code, impacting the confidentiality and integrity of the application, with no impact to availability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS