Zgłoś incydent
Zgłoś incydent

Podatność w oprogramowaniu SAS 9.4
12 grudnia 2023 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-4932
Data publikacji 12 grudnia 2023
Producent podatnego oprogramowania SAS Institute
Nazwa podatnego oprogramowania SAS
Podatne wersje 9.4_M7 oraz 9.4_M8
Typ podatności (CWE) Reflected XSS (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SAS 9.4 i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja parametru "_program" w endpoincie "/SASStoredProcess/do". Podatności nadany został identyfikator CVE-2023-4932.

Testowane były jedynie wersje 9.4_M7 oraz 9.4_M8, dla których wydane zostały hot fixy rozwiązujące problem. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.

Podziękowania

Za zgłoszenie podatności dziękujemy Sławomirowi Zakrzewskiemu oraz Maksymilianowi Kubiakowi z firmy AFINE.


Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.