Множественные уязвимости в Oracle FLEXCUBE Direct Banking

Дата публикации:
19.04.2012
Дата изменения:
19.04.2012
Всего просмотров:
3643
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
8
CVSSv2 рейтинг:
(AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.5/Temporal:2.6
(AV:N/AC:L/Au:M/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:4.7/Temporal:3.5
(AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4/Temporal:3
CVE ID:
CVE-2012-0509
CVE-2012-0541
CVE-2012-0576
CVE-2012-1676
CVE-2012-1679
CVE-2012-1704
CVE-2012-1706
CVE-2012-1707
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle FLEXCUBE Direct Banking 5.x
Oracle FLEXCUBE Direct Banking 6.x
Уязвимые версии:
Oracle FLEXCUBE Direct Banking 5.0.2
Oracle FLEXCUBE Direct Banking 5.3.0 - 5.3.4
Oracle FLEXCUBE Direct Banking 6.0.1
Oracle FLEXCUBE Direct Banking 6.2.0

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить неавторизованное изменение данных.

1. Уязвимость существует из-за ошибки в подкомпоненте Core-Base. Удаленный пользователь может с помощью специально сформированного HTTP запроса осуществить неавторизованное изменение данных.

Примечание: Уязвимость распространяется на версии 5.0.2 и 5.3.0 - 5.3.4

2. Уязвимость существует из-за ошибки в подкомпоненте Core-My Services. Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть важные данные на системе.

3. Уязвимость существует из-за ошибки в подкомпоненте Core-Help. Удаленный пользователь может с помощью специально сформированного HTTP запроса выполнить неавторизованное изменение данных.

Примечание: Уязвимость № 3 распространяется на версии 6.0.1 и 6.2.0.

4. Уязвимость существует из-за ошибки в подкомпоненте Virtual Banking. Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть определенные данные.

5. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Core-Base. Удаленный пользователь может осуществить неавторизованное изменение данных.

6. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Core-Base . Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть определенные данные.

7. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Logging. Удаленный пользователь может осуществить неавторизованное изменение данных.

URL производителя: http://www.oracle.com/

Решение: Для устранения уязвимости установите исправления с сайта производителей.

Ссылки: https://blogs.oracle.com/security/entry/april_2012_critical_patch_update
http://www.oracle.com/technetwork/topics/security/cpuapr2012verbose-366316.html

или введите имя

CAPTCHA