ADF Faces

Die Schwachstelle steckt in der Komponente ADF Faces des Oracle Application Development Framework (ADF), das Teil von Oracle Fusion Middleware ist und über die Entwicklungsumgebung Oracle JDeveloper bezogen wird. Der Kern des Problems ist die Verarbeitung serialisierter Daten aus nicht vertrauenswürdiger Quelle: Die Anwendung wandelt vom Angreifer kontrollierte Daten in interne Objekte zurück, ohne sie ausreichend zu prüfen. Ausnutzen lässt sich der Defekt aus der Ferne über das Netzwerk per HTTP, ohne vorherige Anmeldung und ohne Benutzerinteraktion – der Angriff gilt zudem als technisch leicht durchführbar. Im Ergebnis kann ein unauthentifizierter Angreifer beliebigen Code ausführen und das betroffene ADF-System vollständig übernehmen, also Vertraulichkeit, Integrität und Verfügbarkeit gleichermaßen kompromittieren. Betroffen sind Anwendungen, die auf der ADF-Faces-Bibliothek aufbauen; da diese mit der JDeveloper-Distribution ausgeliefert wird, betrifft die Lücke potenziell zahlreiche damit entwickelte Web-Anwendungen.