Из-за отсутствия проверки авторизации в SAP ERP и SAP S/4HANA (частное облако и локальная среда) злоумышленник, прошедший проверку подлинности, может выполнить определенный отчет ABAP, чтобы перезаписать любой существующий восьмизначный исполняемый отчет ABAP без авторизации. Если впоследствии будет выполнен перезаписанный отчет, предполагаемая функциональность может стать недоступной. Успешная эксплуатация влияет на доступность с ограниченным воздействием на целостность затронутого отчета, в то время как конфиденциальность остается неизменной.
Показать оригинальное описание (EN)
Due to a missing authorization check in SAP ERP and SAP S/4HANA (Private Cloud and On-Premise), an authenticated attacker could execute a particular ABAP report to overwrite any existing eight?character executable ABAP report without authorization. If the overwritten report is subsequently executed, the intended functionality could become unavailable. Successful exploitation impacts availability, with a limited impact on integrity confined to the affected report, while confidentiality remains unaffected.
Характеристики атаки
Последствия
Строка CVSS v3.1