Компания SAP выпустила ежемесячный набор обновлений безопасности за октябрь 2011 года. Данный набор обновлений закрывает множество уязвимостей в продуктах SAP, 6 из которых были обнаружены сторонними исследователями.
В данном обновлении одна уязвимость была обнаружена сотрудником DSecRG - Дмитрием Евдокимовым.
Компания SAP традиционно объявила благодарности исследователям из DSecRG за обнаруженные уязвимости и содействие в их закрытии на своём портале.
Подробный список исправленных уязвимостей:
Межсайтовый скриптинг. Обновление доступно в sap note 1585652. Критичность по CVSS - 4.3. Приоритет 2 по метрике SAP. Злоумышленник может использовать данную уязвимость, послав неосведомленному пользователю специальную ссылку посредством электронной почты, мгновенных сообщений или социальных сетей. При переходе по данной ссылке пользовательский браузер выполнит вредоносный скрипт. Получив доступ к данным сессии пользователя, используя вредоносный скрипт, злоумышленник сможет получить контроль над критичными для бизнеса данными, хранящимися в этих приложениях, к которым имеет доступ жертва.
