Из-за отсутствия проверок авторизации в службе OData SAP S/4HANA (управление структурами технических объектов) злоумышленник может обновлять и удалять дочерние объекты через открытые службы OData без надлежащей авторизации. Эта уязвимость оказывает незначительное влияние на целостность, при этом конфиденциальность и доступность не затрагиваются.
Показать оригинальное описание (EN)
Due to missing authorization checks in the SAP S/4HANA OData Service (Manage Technical Object Structures), an attacker could update and delete child entities via exposed OData services without proper authorization. This vulnerability results in a low impact on integrity, while confidentiality and availability are not impacted.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1