Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SAS 9.4 i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja parametru "_program" w endpoincie "/SASStoredProcess/do". Podatności nadany został identyfikator CVE-2023-4932.
Testowane były jedynie wersje 9.4_M7 oraz 9.4_M8, dla których wydane zostały hot fixy rozwiązujące problem. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.
Podziękowania
Za zgłoszenie podatności dziękujemy Sławomirowi Zakrzewskiemu oraz Maksymilianowi Kubiakowi z firmy AFINE.
