E-Business Suite

Die Schwachstelle betrifft die Oracle E-Business Suite, genauer die Komponente Web Applications Desktop Integrator und dort die Upload-Funktion. Über diese Funktion kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten zugreifen; der Angriffsweg führt über das HTTP-Protokoll, also über den normalen Web-Verkehr, mit dem die Anwendung erreichbar ist. Der Fehler lässt sich nach Herstellerangaben mit geringem Aufwand ausnutzen und erfordert keine vorherige Anmeldung und keine Benutzerinteraktion. Gelingt der Angriff, kann der Web Applications Desktop Integrator vollständig übernommen werden – der Angreifer erlangt also die Kontrolle über die betroffene Komponente und kann dort gespeicherte Daten lesen, verändern und die Verfügbarkeit beeinträchtigen. Betroffen sind Installationen der E-Business Suite, in denen dieses Modul aktiv und über das Netzwerk erreichbar ist. Da die Suite zentrale Geschäftsprozesse abbildet, wiegt eine solche Übernahme besonders schwer.