BI Publisher (Formerly XML Publisher)

Die Schwachstelle betrifft die Komponente BI Publisher (vormals XML Publisher) von Oracle, genauer den Teilbereich der Zugriffssicherheit. BI Publisher dient dem Erstellen und Verteilen von Berichten innerhalb der Oracle-Middleware. Über diese Lücke kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung über das Netzwerk per HTTP auf das System einwirken. Der Angriff ist nach Herstellerangaben einfach durchführbar und erfordert weder gültige Zugangsdaten noch ein Zutun des Nutzers. Gelingt er, kann der Angreifer einen Teil der über BI Publisher zugänglichen Daten unbefugt lesen sowie weitere Daten ohne Berechtigung verändern, einlegen oder löschen. Da die Schwachstelle die Grenzen der betroffenen Komponente überschreiten kann, sind unter Umständen auch andere angebundene Produkte erheblich betroffen. Aus quelloffenen Berichten geht hervor, dass sich die Lücke zur Umgehung der Anmeldung ausnutzen lässt.