Security Lab

Множественные уязвимости в Oracle FLEXCUBE Direct Banking

Дата публикации:19.04.2012
Всего просмотров:4316
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:8
CVSSv2 рейтинг: 3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C)
3.5 (AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C)
3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C)
3.5 (AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C)
3.5 (AV:N/AC:M/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C)
3.5 (AV:N/AC:M/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.7 (AV:N/AC:L/Au:M/C:P/I:P/A:N/E:U/RL:O/RC:C)
4 (AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2012-0509
CVE-2012-0541
CVE-2012-0576
CVE-2012-1676
CVE-2012-1679
CVE-2012-1704
CVE-2012-1706
CVE-2012-1707
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Oracle FLEXCUBE Direct Banking 5.x
Oracle FLEXCUBE Direct Banking 6.x
Уязвимые версии:
Oracle FLEXCUBE Direct Banking 5.0.2
Oracle FLEXCUBE Direct Banking 5.3.0 - 5.3.4
Oracle FLEXCUBE Direct Banking 6.0.1
Oracle FLEXCUBE Direct Banking 6.2.0

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить неавторизованное изменение данных.

1. Уязвимость существует из-за ошибки в подкомпоненте Core-Base. Удаленный пользователь может с помощью специально сформированного HTTP запроса осуществить неавторизованное изменение данных.

Примечание: Уязвимость распространяется на версии 5.0.2 и 5.3.0 - 5.3.4

2. Уязвимость существует из-за ошибки в подкомпоненте Core-My Services. Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть важные данные на системе.

3. Уязвимость существует из-за ошибки в подкомпоненте Core-Help. Удаленный пользователь может с помощью специально сформированного HTTP запроса выполнить неавторизованное изменение данных.

Примечание: Уязвимость № 3 распространяется на версии 6.0.1 и 6.2.0.

4. Уязвимость существует из-за ошибки в подкомпоненте Virtual Banking. Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть определенные данные.

5. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Core-Base. Удаленный пользователь может осуществить неавторизованное изменение данных.

6. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Core-Base . Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть определенные данные.

7. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Logging. Удаленный пользователь может осуществить неавторизованное изменение данных.

URL производителя: http://www.oracle.com/

Решение: Для устранения уязвимости установите исправления с сайта производителей.

Ссылки: https://blogs.oracle.com/security/entry/april_2012_critical_patch_update
http://www.oracle.com/technetwork/topics/security/cpuapr2012verbose-366316.html