Origine : bjCSIRT
Numéro : 2023/ALERTE/008
Date de l’alerte : 09/02/2023
APERÇU :
Oracle Web Applications Desktop Integrator présente une vulnérabilité de classe exécution de code malveillant à distance qui permettrait à un attaquant de prendre le contrôle de la solution.
DESCRIPTION :
Oracle E-Business Suite est l’une des gammes de produits les plus importantes d’Oracle. Egalement connue sous l’appellation Oracle EBS, cette suite d’ERP intègre plusieurs applications métier dont les processus de gestion de la relation client (CRM), gestion du capital humain (HCM), gestion financière et de gestion de la chaîne logistique (SCM). Elle reste la suite d’applications métier la plus répandue au monde et publiée pour la première fois en 2001. Elle utilise un ensemble de métadonnées appelé intégrateur pour encapsuler toutes les informations nécessaires à l’intégration d’une tâche Oracle EBS particulière à une application de bureau.
Elle présente une vulnérabilité nommée CVE-2022-21587 de type exécution de code à distance. Cette vulnérabilité facilement exploitable permettrait à un attaquant non authentifié ayant un accès réseau via HTTP de compromettre l’intégrateur nommé Oracle Web Applications Desktop Integrator. Les attaques réussies de cette vulnérabilité aboutiraient à la prise de contrôle totale d’Oracle Web Applications Desktop Integrator.
Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 9,8.
IMPACT :
- Atteinte à la confidentialité.
- Atteinte à l’intégrité.
- Atteinte à la disponibilité.
SYSTEMES AFFECTÉS :
La vulnérabilité affecte les versions d’Oracle E-Business Suite : 12.2.3 à 12.2.11.
MESURES À PRENDRE :
- Appliquer les correctifs de sécurité Critical Patch Update disponible sur le lien : https://support.oracle.com/rs?type=doc&id=2484000.1
REFERENCES :
