Katalog CVE

CVE-2026-27688

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W wyniku braku sprawdzenia autoryzacji w serwerze aplikacyjnym SAP NetWeaver dla ABAP, uwierzytelniony atakujący z uprawnieniami użytkownika mógł odczytać pliki dziennika analizy bazy danych za pomocą konkretnego modułu funkcji RFC. Atakujący z odpowiednimi uprawnieniami do wykonania tego modułu funkcji mógł potencjalnie podnieść swoje uprawnienia i uzyskać dostęp do wrażliwych danych.

Ocena ryzyka

Podatność ta może prowadzić do ograniczonego wpływu na poufność informacji przechowywanych w systemie, co może zagrażać bezpieczeństwu danych organizacji.

Rekomendacja

Zaleca się wprowadzenie odpowiednich kontroli autoryzacji dla modułów funkcji RFC oraz regularne przeglądanie uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

Due to a missing authorization check in SAP NetWeaver Application Server for ABAP, an authenticated attacker with user privileges could read Database Analyzer Log Files via a specific RFC function module. The attacker with the necessary privileges to execute this function module could potentially escalate their privileges and read the sensitive data, resulting in a limited impact on the confidentiality of the information stored. However, the integrity and availability of the system are not affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS