Найдены критические уязвимости в приложениях бизнес-аналитики Oracle BI

Найдены критические уязвимости в приложениях бизнес-аналитики Oracle BI

Специалисты из исследовательской лаборатории DSecRG компании Digital Security опубликовали подробности об уязвимостях, обнаруженных в приложениях бизнес-аналитики Oracle BI, которое используется во множестве крупных компаний.

Специалисты из исследовательской лаборатории DSecRG компании Digital Security опубликовали подробности об уязвимостях, обнаруженных в приложениях бизнес-аналитики Oracle BI, которое используется во множестве крупных компаний.

В частности, в Oracle BI обнаружены следующие уязвимости: PL/SQL-инъекция в процедуре WB_OLAP_AW_SET_SOLVE_ID; PL/SQL-инъекция в процедуре WB_OLAP_AW_REMOVE_SOLVE_ID. Согласно опубликованным данным, уязвимости позволяют легитимному пользователю системы Oracle BI повысить свои привилегии до административного уровня, а также получить доступ к операционной системе и ко всем критичным для бизнеса данным.

«Патч для закрытия уязвимости вышел в апреле, но мы решили дать пользователям ещё один месяц на установку данного обновления, прежде чем опубликовывать код эксплоита», — сообщил Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG. По его словам, уязвимости в Oracle BI были обнаружены в рамках исследований в области безопасности бизнес-приложений и разработки автоматизированного сканера безопасности ERPScan, предназначенного для аудита защищённости бизнес-приложений, который на данный момент реализован для аудита системы SAP.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!