cvelistv5 - cve-2023-29110

Source	URL	Tags
cna@sap.com	https://launchpad.support.sap.com/#/notes/3113349	Permissions Required
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Vendor	Product
SAP	Application Interface Framework (Message Dashboard)

wid-sec-w-2023-0904

Vulnerability from csaf_certbund

Published

2023-04-10 22:00

Modified

2023-04-10 22:00

Summary

SAP Patchday April 2023

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0904 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0904.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0904 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0904"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day April 2023 vom 2023-04-10",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday April 2023",
    "tracking": {
      "current_release_date": "2023-04-10T22:00:00.000+00:00",
      "generator": {
        "date": "2024-02-15T17:22:56.428+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2023-0904",
      "initial_release_date": "2023-04-10T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-04-10T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T016476",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-29189",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29189"
    },
    {
      "cve": "CVE-2023-29187",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29187"
    },
    {
      "cve": "CVE-2023-29186",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29186"
    },
    {
      "cve": "CVE-2023-29185",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29185"
    },
    {
      "cve": "CVE-2023-29112",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29112"
    },
    {
      "cve": "CVE-2023-29111",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29111"
    },
    {
      "cve": "CVE-2023-29110",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29110"
    },
    {
      "cve": "CVE-2023-29109",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29109"
    },
    {
      "cve": "CVE-2023-29108",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-29108"
    },
    {
      "cve": "CVE-2023-28765",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-28765"
    },
    {
      "cve": "CVE-2023-28763",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-28763"
    },
    {
      "cve": "CVE-2023-28761",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-28761"
    },
    {
      "cve": "CVE-2023-27897",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-27897"
    },
    {
      "cve": "CVE-2023-27499",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-27499"
    },
    {
      "cve": "CVE-2023-27497",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-27497"
    },
    {
      "cve": "CVE-2023-27269",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-27269"
    },
    {
      "cve": "CVE-2023-27267",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-27267"
    },
    {
      "cve": "CVE-2023-26458",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-26458"
    },
    {
      "cve": "CVE-2023-24528",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-24528"
    },
    {
      "cve": "CVE-2023-24527",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-24527"
    },
    {
      "cve": "CVE-2023-1903",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2023-1903"
    },
    {
      "cve": "CVE-2022-41272",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2022-41272"
    },
    {
      "cve": "CVE-2021-33683",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2021-33683"
    },
    {
      "cve": "CVE-2020-13936",
      "notes": [
        {
          "category": "description",
          "text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-04-10T22:00:00Z",
      "title": "CVE-2020-13936"
    }
  ]
}

gsd-2023-29110

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.

Aliases

CVE-2023-29110

Aliases

CVE-2023-29110

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-29110",
    "id": "GSD-2023-29110"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-29110"
      ],
      "details": "The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.\n\n",
      "id": "GSD-2023-29110",
      "modified": "2023-12-13T01:20:56.965847Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2023-29110",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Application Interface Framework (Message Dashboard)",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "AIF 703"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "AIFX 702"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "S4CORE 100"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "S4CORE 101"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 755"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 756"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_ABA 75C"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_ABA 75D"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_ABA 75E"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "HIGH",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 3.7,
            "baseSeverity": "LOW",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-80",
                "lang": "eng",
                "value": "CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://launchpad.support.sap.com/#/notes/3113349",
            "refsource": "MISC",
            "url": "https://launchpad.support.sap.com/#/notes/3113349"
          },
          {
            "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            "refsource": "MISC",
            "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:sap:abap_platform:75c:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:abap_platform:75d:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:abap_platform:75e:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:basis:755:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:basis:756:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:s4core:101:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:application_interface_framework:aifx_702:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:application_interface_framework:aif_703:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:s4core:100:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "cna@sap.com",
          "ID": "CVE-2023-29110"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.\n\n"
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-79"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://launchpad.support.sap.com/#/notes/3113349",
              "refsource": "MISC",
              "tags": [
                "Permissions Required"
              ],
              "url": "https://launchpad.support.sap.com/#/notes/3113349"
            },
            {
              "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.4,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "LOW",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 2.3,
          "impactScore": 2.7
        }
      },
      "lastModifiedDate": "2023-04-18T01:54Z",
      "publishedDate": "2023-04-11T04:16Z"
    }
  }
}

ghsa-666p-hwqx-vc2f

Vulnerability from github

Published

2023-04-11 06:30

Modified

2024-04-04 03:23

Severity

5.4 (Medium) - CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Details

The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-29110"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-79",
      "CWE-80"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-04-11T04:16:00Z",
    "severity": "MODERATE"
  },
  "details": "The SAP Application Interface (Message Dashboard) - versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D, 75E, application allows the usage HTML tags. An authorized attacker can use some of the basic HTML codes such as heading, basic formatting and lists, then an attacker can inject images from the foreign domains. After successful exploitations, an attacker can cause limited impact on the confidentiality and integrity of the application.\n\n",
  "id": "GHSA-666p-hwqx-vc2f",
  "modified": "2024-04-04T03:23:40Z",
  "published": "2023-04-11T06:30:29Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-29110"
    },
    {
      "type": "WEB",
      "url": "https://launchpad.support.sap.com/#/notes/3113349"
    },
    {
      "type": "WEB",
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

Action not permitted

cve-2023-29110

Vulnerability from cvelistv5

wid-sec-w-2023-0904

Vulnerability from csaf_certbund

gsd-2023-29110

Vulnerability from gsd

ghsa-666p-hwqx-vc2f

Vulnerability from github

Tags