Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu SAS 9.4
12 grudnia 2023 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-4932
Data publikacji 12 grudnia 2023
Producent podatnego oprogramowania SAS Institute
Nazwa podatnego oprogramowania SAS
Podatne wersje 9.4_M7 oraz 9.4_M8
Typ podatności (CWE) Reflected XSS (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SAS 9.4 i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja parametru "_program" w endpoincie "/SASStoredProcess/do". Podatności nadany został identyfikator CVE-2023-4932.

Testowane były jedynie wersje 9.4_M7 oraz 9.4_M8, dla których wydane zostały hot fixy rozwiązujące problem. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.

Podziękowania

Za zgłoszenie podatności dziękujemy Sławomirowi Zakrzewskiemu oraz Maksymilianowi Kubiakowi z firmy AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.