SAP NetWeaver AS の非同期化(ICMAD)

critical Nessus プラグイン ID 157848

概要

リモート SAP NetWeaver アプリケーションサーバーは非同期化の脆弱性の影響を受けます。

説明

SAP NetWeaver Application Server ABAP、SAP NetWeaver Application Server Java、ABAP Platform、SAP Content Server 7.53および SAP Web Dispatcher は、リクエストスマグリングおよびリクエスト連結に対して脆弱です。

認証されていない攻撃者が、被害者のリクエストに任意のデータを付加する可能性があります。このようにして、攻撃者は被害者になりすます機能を実行したり、中間 Web キャッシュを汚染したりする可能性があります。攻撃が成功するとシステムの機密性、整合性、可用性が完全に侵害される可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

ベンダーのアドバイザリにしたがって適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?f0c19cc7

https://launchpad.support.sap.com/#/notes/3123396

プラグインの詳細

深刻度: Critical

ID: 157848

ファイル名: sap_netweaver_as_3123396.nasl

バージョン: 1.6

タイプ: remote

ファミリー: Web Servers

公開日: 2022/2/9

更新日: 2022/12/5

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-22536

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:sap:netweaver_application_server

必要な KB アイテム: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/2/8

脆弱性公開日: 2022/2/8

CISA の既知の悪用された脆弱性の期限日: 2022/9/8

参照情報

CVE: CVE-2022-22536

IAVA: 2022-A-0063