Тисячі підприємств, які використовують програмне забезпечення Oracle E-Business, знаходяться в зоні ризику атак
Тисячі підприємств, які використовують програмне забезпечення Oracle E-Business, знаходяться в зоні ризику атак
Тисячі підприємств, які використовують програмне забезпечення Oracle E-Business, знаходяться в зоні ризику атак у зв'язку з вразливими в ньому. За даними компанії Onapsis, приблизно половина організацій, що використовують Oracle EBS, все ще не застосувала оновлення, що усувають уразливості CVE-2019-2648 і CVE-2019-2633, незважаючи на те, що виробник випустив відповідні патчі ще в минулому квітні. >
Обидві вразливості містяться в API Thin Client Framework і дозволяють впровадити SQL-код. Зловмисник, який отримав віддалений доступ до EBS-сервера через HTTPS, може проексплуатувати вразливості і відправити довільні команди комп'ютеру, що атакується.
Проблеми становлять серйозну загрозу для серверів, які використовують модуль Payments. Він дозволяє компаніям встановлювати та планувати прямі депозити та автоматичні грошові перекази постачальникам або партнерам, а також обробляти рахунки та замовлення. Номери банківських транзакцій та рахунків для переказу зберігаються на сервері у вигляді текстових файлів та автоматично завантажуються за потреби. Зловмисник може віддалено змінити дані файли та додати інструкції з переказу коштів на вибраний ним рахунок.
У випадку, якщо EBS-сервер використовується для друку чеків, зловмисник може скористатися цією можливістю для друку підроблених чеків. Щоправда, для цього йому буде потрібний доступ до принтера та шаблонів чеків, які можуть зберігатися на іншому сервері.
Уразливості отримали оцінки у 9,9 бала за шкалою CVSS.
