Intelligence Enterprise Edition

Die Schwachstelle betrifft Oracle Business Intelligence Enterprise Edition, eine Plattform für Datenanalyse und Berichtswesen innerhalb von Oracle Fusion Middleware. Der Fehler ist ein sogenannter Path Traversal: Über den Parameter FilePath der Funktion getPreviewImage, die normalerweise nur Vorschaubilder lädt, kann ein Angreifer den Pfad so manipulieren, dass die Anwendung beliebige Dateien aus dem Dateisystem des Servers ausliefert – auch solche außerhalb des vorgesehenen Verzeichnisses. Ausnutzen lässt sich die Lücke aus der Ferne über HTTP, ohne Anmeldung und ohne Benutzerinteraktion; der Angriff ist technisch einfach durchzuführen. Im Ergebnis erhält der Angreifer unbefugten Lesezugriff auf vertrauliche Dateien und kann unter Umständen sämtliche für die Anwendung erreichbaren Daten einsehen. Betroffen sind Installationen, die diese Berichtsplattform über das Netzwerk bereitstellen; die Auswirkungen beschränken sich auf die Vertraulichkeit der Daten, ohne diese zu verändern.