Половина компаний, использующих ПО Oracle EBS, не установили выпущенные в апреле 2019 года патчи для уязвимостей.
Обе уязвимости содержатся в API Thin Client Framework и позволяют внедрить SQL-код. Злоумышленник, получивший удаленный доступ к EBS-серверу через HTTPS, может проэксплуатировать уязвимости и отправить произвольные команды атакуемому компьютеру.
Проблемы представляют серьезную угрозу для серверов, использующих модуль Payments. Он позволяет компаниям устанавливать и планировать прямые депозиты и автоматические денежные переводы поставщикам или партнерам, а также обрабатывать счета и заказы. Номера банковских транзакций и счетов для перевода хранятся на сервере в виде текстовых файлов и автоматически загружаются при необходимости. Злоумышленник может удаленно изменить данные файлы и добавить инструкции по переводу денежных средств на выбранный им счет.
В случае, если EBS-сервер используется для печати чеков, злоумышленник может воспользоваться данной возможностью для печати поддельных чеков. Правда, для этого ему потребуется доступ к принтеру и шаблонам чеков, которые могут храниться на другом сервере.
Уязвимости получили оценки в 9,9 балла по шкале CVSS.