Из-за отсутствия проверок авторизации во внешней службе OData SAP S/4HANA (управление ссылочными структурами) злоумышленник может обновлять и удалять дочерние объекты через открытые службы OData без надлежащей авторизации. Эта уязвимость оказывает сильное влияние на целостность, но не влияет на конфиденциальность и доступность.
Показать оригинальное описание (EN)
Due to missing authorization checks in the SAP S/4HANA frontend OData Service (Manage Reference Structures), an attacker could update and delete child entities via exposed OData services without proper authorization. This vulnerability has a high impact on integrity, while confidentiality and availability are not impacted.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1