El problema reside en un error de diseño en el control ActiveX "SAPBExCommonResources" que incluye el método inseguro "Execute()". Un atacante remoto podría emplear esta vulnerabilidad para lograr la ejecución de comandos arbitrarios si el usuario visita una página web específicamente creada.
Se recomienda aplicar la actualización disponible desde:
https://service.sap.com/sap/support/notes/1407285
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
SAP note 1407285
https://service.sap.com/sap/support/notes/1407285
[DSECRG-09-064] SAP GUI 7.1 - Insecure method, code execution
http://www.dsecrg.com/pages/vul/show.php?id=164