| タイトル | SAPのnetweaver application server javaにおけるコードインジェクションの脆弱性 |
|---|---|
| 概要 | SAP NetWeaver Application Server Java(Web Dynpro Java)におけるコードインジェクションの脆弱性により、認証されていない攻撃者が細工された入力を提供し、アプリケーションがそれを解釈して攻撃者が制御するコンテンツを参照させる可能性があります。被害者が影響を受ける機能にアクセスすると、その攻撃者が制御するコンテンツが被害者のブラウザで実行され、セッションの侵害を引き起こす恐れがあります。これにより、攻撃者は任意のクライアント側コードを実行でき、アプリケーションの機密性および完全性に影響を与えますが、可用性には影響しません。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月14日0:00 |
| 登録日 | 2026年6月5日10:48 |
| 最終更新日 | 2026年6月5日10:48 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| SAP |
| netweaver application server java 7.50 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:48 |
| 概要 | Due to a Code Injection vulnerability in SAP NetWeaver Application Server Java (Web Dynpro Java), an unauthenticated attacker could supply crafted input that is interpreted by the application and causes it to reference attacker-controlled content. If a victim accesses the affected functionality, that attacker-controlled content could be executed in the victim�s browser, potentially resulting in session compromise. This could allow the attacker to execute arbitrary client-side code, impacting the confidentiality and integrity of the application, with no impact to availability. |
|---|---|
| 公表日 | 2026年4月14日9:16 |
| 登録日 | 2026年4月15日11:39 |
| 最終更新日 | 2026年4月18日0:18 |