Эксперты Digital Security обнаружили бреши в Oracle E-Business Suite

Уязвимости, относящиеся к типу XXE, позволяли злоумышленникам выполнять SSRF- и DOS-атаки.

Компания Digital Security обнаружила две критичные уязвимости в E-Business Suite, ключевом ПО для бизнеса Oracle, за что была удостоена официальной благодарности вендора. Отметим, что сотрудники компании с 2008 года регулярно находят различные проблемы безопасности в продуктах Oracle .


Обе указанные уязвимости относятся к типу XXE. С помощью специально сформированных запросов с XML они позволяют читать произвольные файлы с сервера EBS. Кроме того, они дают возможность выполнять SSRF-, а также DOS-атаки. Эти уязвимости сложно проэксплуатировать анонимно.


Обнаруженные сотрудниками Digital Security проблемы безопасности влияют на такие критически важные бизнес-приложения, базирующиеся на платформе E-Business Suite, как Value Chain Execution Suite, Value ChainPlanning, Advanced Procurement, Supply Chain Management, Project Portfolio Management, Human Capital Management, Financial Management, Service Management, Customer Relationship Management и прочее. Эти решения, в свою очередь, хранят и обрабатывают основные корпоративные данные. Таким образом, в случае успешной реализации атаки злоумышленник сможет подделать данные о количестве материальных ресурсов, изменить цены, присвоить средства и внести изменения в финансовые отчеты.


В общем вендор закрыл 78 уязвимостей в ПО Oracle EBS.

ASTERA