Аутентифицированный злоумышленник в SAP CRM и SAP S/4HANA (редактор сценариев) может воспользоваться уязвимостью в вызове универсального функционального модуля и выполнить несанкционированные критически важные функции, включая возможность выполнения произвольного оператора SQL. Это приводит к полной компрометации базы данных с серьезным влиянием на конфиденциальность, целостность и доступность.
Показать оригинальное описание (EN)
An authenticated attacker in SAP CRM and SAP S/4HANA (Scripting Editor) could exploit a flaw in a generic function module call and execute unauthorized critical functionalities, which includes the ability to execute an arbitrary SQL statement. This leads to a full database compromise with high impact on confidentiality, integrity, and availability.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1