Oracle потратила 6 месяцев на исправление критической уязвимости

Пт 24 Июнь 2022 16:13

CVE-2022-21445 (с оценкой 9,8 по шкале CVSS) – уязвимость десериализации недоверенных данных, которая может быть использована для выполнения произвольного кода в системе жертвы. Исследователи PeterJson из VNG Corporation и Нгуен Джанг из VNPT в октябре 2021 года обнаружили CVE-2022-21445 в фреймворке ADF Faces и сообщили о ней Oracle . Однако компания выпустила исправление только через шесть месяцев, в рамках апрельского Critical Patch Update .

По словам исследователей, RCE-уязвимость, которую они назвали “мега” уязвимостью, затрагивает все приложения, использующие фреймворк ADF Faces, включая Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite и Transportation Management.

Еще исследователям удалось обнаружить CVE-2022-21497 (с оценкой 8,1 по шкале CVSS) – SSRF-уязвимость, которая может быть использована вместе с CVE-2022-21445 для удаленного выполнения кода до авторизации в Oracle Access Manager.

Используя эти уязвимости, исследователи разработали эксплойт, который назвали “Чудо-эксплойт”. По их словам, уязвимости подвержены все онлайн-системы и облачные сервисы Oracle, использующие ADF Faces.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 148 дней 13 часов 32 минуты 33 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.