ПОЛГОДА НА ИСПРАВЛЕНИЕ УЯЗВИМОСТИ
Компании Oracle понадобилось 6 месяцев, чтобы исправить критическую уязвимость в своем решении. Для вычисления уязвимости потребовались масштабные исследования, в ходе которых была обнаружена новая уязвимость, затрагивающая все системы Oracle на фреймворке ADF Faces.
Вышеупомянутая уязвимость получила оценку 9,8 по шкале CVSS и название CVE-2022-21445. Суть уязвимости в десериализации недоверенных данных, которая может быть использована для выполнения произвольного кода в системе организации – жертвы. Обнаружена CVE-2022-21445 была в октябре 2021 года в фреймворке ADF Faces, о чем исследователи PeterJson из VNG Corporation и Нгуен Джанг из VNPT сообщили в Oracle. Исправление было выпущено только через полгода в рамках апрельского Critical Patch Update.
Стоит отметить, что RCE-уязвимость затрагивает все приложения, использующие фреймворк ADF Faces, включая:
- SOA Suite
- WebCenter Portal
- Enterprise Manager
- Business Intelligence
- Identity Management
- Application Testing Suite
- Transportation Management.
Дополнительно удалось обнаружить SSRF-уязвимость, которая может быть использована вместе с CVE-2022-21445 для удаленного выполнения кода до авторизации в Oracle Access Manager – CVE-2022-21497 (с оценкой 8,1 по шкале CVSS).
Мы всегда следим за появлением новых версий решений Наших Партнеров. Благодаря данному подходу мы всегда предлагаем Нашим Клиентам только самые эффективные и современные решения от Наших Партнеров.