Nieprawidłowa konfiguracja Spring Security w SAP Commerce Cloud umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwych danych wejściowych i wykonanie dowolnego kodu po stronie serwera. Podatność oceniono jako krytyczną z wynikiem CVSS 9.6, co oznacza pełne ryzyko utraty poufności, integralności i dostępności aplikacji.
▸ Pokaż oryginał (EN)
Due to improper Spring Security configuration, SAP Commerce Cloud allows an unauthenticated user to perform malicious input injection, resulting in arbitrary server-side code execution, leading to high impact on Confidentiality, Integrity, and Availability of the application.
Błąd wynika z niepełnego czyszczenia danych wejściowych (CWE-459 — Incomplete Cleanup) w połączeniu z wadliwą konfiguracją Spring Security, która nie blokuje odpowiednio danych dostarczanych przez użytkownika przed ich przetworzeniem. Atakujący bez żadnego uwierzytelnienia może dostarczyć specjalnie spreparowane dane wejściowe, które zostają wykonane jako kod po stronie serwera. Wektor ataku jest sieciowy, nie wymaga wysokich uprawnień ani złożonych warunków — wymagana jest jedynie interakcja użytkownika (UI:R), co sugeruje możliwość ataku np. przez spreparowany link.
Udane wykorzystanie podatności daje atakującemu pełną kontrolę nad aplikacją — możliwość odczytu i modyfikacji danych (wysoki wpływ na poufność i integralność) oraz zakłócenia jej działania (wysoki wpływ na dostępność). Ze względu na zakres oddziaływania wykraczający poza komponent (S:C), skutki mogą objąć szerzej infrastrukturę hostującą SAP Commerce Cloud.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Note 3733064 (https://me.sap.com/notes/3733064) oraz wytycznymi SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Zaleca się weryfikację konfiguracji Spring Security w środowisku produkcyjnym oraz monitorowanie nieautoryzowanych żądań do aplikacji.
SAP Commerce Cloud — konkretne wersje wskazane w referencjach producenta (SAP Note 3733064 oraz SAP Security Patch Day)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H