4 vulnerabilità XSS in SAP BusinessObjects Suite consentono attacchi ransomware agli utenti aziendali

4 vulnerabilità XSS in SAP BusinessObjects Suite consentono attacchi ransomware agli utenti aziendali

Un gruppo di esperti di sicurezza delle informazioni ha rilevato una serie di vulnerabilità nella suite SAP BusinessObjects, una piattaforma di intelligence destinata agli utenti aziendali. Questa soluzione è costituita da una serie di applicazioni di reporting che consentono agli utenti di scoprire dati, eseguire analisi per apprendere e creare report sui piani aziendali.

Lo sfruttamento riuscito di queste vulnerabilità consentirebbe l'implementazione di più scenari dannosi, come l'esecuzione di script tra siti, tra gli altri. Di seguito sono riportate brevi descrizioni dei difetti segnalati, oltre ai rispettivi punteggi e chiavi di identificazione in base al Common Vulnerability Scoring System (CVSS).

CVE-2020-628: il debug insufficiente dei dati forniti dall'utente all'interno del componente BI Launchpad consentirebbe agli attori delle minacce di eseguire attacchi di cross-site scripting (XSS) utilizzando HTML arbitrario nel contesto del browser dell'utente vulnerabile.

Questo è un difetto di bassa gravità che ha ricevuto un punteggio di 5,3 / 10.

CVE-2020-6276: una disinfezione insufficiente dei dati forniti dall'utente all'interno del componente bipodata consentirebbe agli hacker malintenzionati di distribuire attacchi XSS nel contesto di un sito Web vulnerabile.

Lo sfruttamento riuscito di questo difetto porterebbe al furto di informazioni riservate dal sistema di destinazione, alla modifica dell'aspetto del sito Web, alla diffusione di attacchi di phishing, tra le altre varianti di attacco. Il difetto ha ricevuto un punteggio di 5,3 / 10 sulla scala CVSS.

CVE-2020-6278: questo difetto esiste a causa della disinfezione insufficiente dei dati forniti dall'utente all'interno del BI Launchpad e dei componenti CMC, che porta ad attacchi XSS nel contesto di un sito Web vulnerabile. La vulnerabilità ha anche ricevuto un punteggio CVSS di 5,3 / 10.

CVE-2020-6222: la disinfezione insufficiente dell'input dell'utente all'interno dell'interfaccia HTML di Web Intelligence consente la distribuzione di attacchi XSS. Gli hacker remoti dovrebbero ingannare l'utente target solo nell'esecuzione di HTML arbitrario e nel completamento dell'attacco.

Il difetto ha ricevuto un punteggio di 5,3 / 10.

Sebbene questi difetti possano essere sfruttati in remoto da hacker non autenticati, i ricercatori non hanno rilevato tentativi di sfruttamento attivo o alcuna variante di malware associata all'attacco.

SAP ha appena confermato che le patch per correggere le vulnerabilità sono già disponibili, quindi gli utenti delle distribuzioni interessate devono solo verificare la loro installazione. Ulteriori dettagli sono disponibili sulle piattaforme ufficiali dell'azienda. 

Posted on