آسیب پذیری در نرم افزار منابع انسانی Oracle به نام E-Business Suite وجود دارد. این آسیب پذیری به حمله کننده با سطح دسترسی کم از طریق شبکه و HTTPS، به راحتی اجازه اکسپلویت این نقص را میدهد. میتواند منجربه حمله ممانعت از سرویس شود.
در حالیکه این آسیبپذیری در نرم افزار Oracle Human Resources پیدا شده، حمله کننده میتواند با استفاده از این آسیبپذیری روی محصولات دیگر Oracle هم تاثیر بگذارد. حمله موفق به این آسیبپذیری منجر به ایجاد، حذف و تغییر تمام اطلاعات اساسی و حساس میشود. به علاوه این آسیبپذیری، میتواند منجربه حمله ممانعت از سرویس شود(partial DOS).
شناسه آسیبپذیری: CVE-2020-2586
سطح ریسک: بحرانی
CVSS:3.1/AV: N/AC: L/PR: L/UI: N/S: C/C: H/I: H/A: L
سیستمهای آسیبپذیر:
۱۲.۱.۱-۱۲.۱.۳ & 12.2.3-12.2.9
نیازمندی تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
وصله به روز رسانی شامل ۲۳ وصله امنیتی برای نرم افزار E-business suite است که ۲۱ عدد از این آسیب پذیریها را میتوان بدون احراز هویت از راه دور اکسپلویت کرد.
محصول E-business suite از شرکت Oracle شامل Oracle Databa و Fusion Middleware است که نسبت به این آسیبپذیری ها دارای نقطه ضعف هستند. اکسپلویت این آسیبپذیری ها در محصولات E-business suite بستگی به نوع Oracle Database و Fusion Middleware مورد استفاده دارد.
از آنجاییکه آسیبپذیریهایی که بر روی Oracle Database و Fusion Middleware تاثیر میگذارند میتوانند روی E-business suite اثر گذار باشند، Oracle پیشنهاد میدهد که مشتریان به روز رسانی وصله بحرانی ژانویه ۲۰۲۰ روی Oracle Database وFusion Middleware که جزئی از پایگاه داده هستند را انجام دهند. برای اطلاعات بیشتر از نصب وصله درخصوص E-business suite، به نسخه ۱۲ مراجعه شود. سند این بروزرسانی متن شماره ۲۶۱۳۷۸۲.۱ است.
منابع
https://nvd.nist.gov/vuln/detail/CVE-2020-2586
https://www.oracle.com/security-alerts/cpujan2020.html#AppendixEBS