آسیب پذیری در نرم افزار منابع انسانی Oracle به نام E-Business Suite وجود دارد. این آسیب پذیری به حمله کننده با سطح دسترسی کم از طریق شبکه و HTTPS، به راحتی اجازه اکسپلویت این نقص را می‌دهد. می‌تواند منجربه حمله ممانعت از سرویس شود.

در حالیکه این آسیب‌پذیری در نرم افزار Oracle Human Resources پیدا شده، حمله کننده می‌تواند با استفاده از این آسیب‌پذیری روی محصولات دیگر Oracle هم تاثیر بگذارد. حمله موفق به این آسیب‌پذیری منجر به ایجاد، حذف و تغییر تمام اطلاعات اساسی و حساس می‌شود. به علاوه این آسیب‌پذیری، می‌تواند منجربه حمله ممانعت از سرویس شود(partial DOS).

شناسه آسیب‌پذیری: CVE-2020-2586

سطح ریسک: بحرانی

CVSS:3.1/AV: N/AC: L/PR: L/UI: N/S: C/C: H/I: H/A: L

سیستم‌­های آسیب‌پذیر:

۱۲.۱.۱-۱۲.۱.۳ & 12.2.3-12.2.9

نیازمندی تعامل کاربر: خیر 

سال شناسایی: ۲۰۲۰

وصله به روز رسانی شامل ۲۳ وصله امنیتی برای نرم افزار E-business suite است که ۲۱ عدد از این آسیب پذیری‌ها را می‌توان بدون احراز هویت از راه دور اکسپلویت کرد.

محصول E-business suite از شرکت Oracle شامل Oracle Databa و Fusion Middleware است که نسبت به این آسیب‌پذیری ها دارای نقطه ضعف هستند. اکسپلویت این آسیب‌پذیری ها در محصولات E-business suite بستگی به نوع Oracle Database و Fusion Middleware مورد استفاده دارد.

از آنجاییکه آسیب‌پذیری‌هایی که بر روی Oracle Database و Fusion Middleware تاثیر می‌گذارند می‌توانند روی E-business suite اثر گذار باشند، Oracle پیشنهاد می‌دهد که مشتریان به روز رسانی وصله بحرانی ژانویه ۲۰۲۰ روی Oracle Database وFusion Middleware که جزئی از پایگاه داده هستند را انجام دهند. برای اطلاعات بیشتر از نصب وصله درخصوص E-business suite، به نسخه ۱۲ مراجعه شود. سند این بروزرسانی متن شماره ۲۶۱۳۷۸۲.۱ است.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2020-2586

https://www.oracle.com/security-alerts/cpujan2020.html#AppendixEBS