Agile Product Lifecycle Management (PLM)

Die Schwachstelle steckt in der Export-Komponente von Oracle Agile Product Lifecycle Management (PLM), einer Software zur Verwaltung von Produktdaten über deren gesamten Lebenszyklus hinweg. Ursache ist eine fehlerhafte Deserialisierung – also das unsichere Einlesen und Wiederherstellen von Objektdaten, die ein Angreifer manipuliert übermittelt. Ausnutzen lässt sich der Fehler über das Netzwerk per HTTP. Der Angreifer benötigt dafür lediglich ein Konto mit niedrigen Rechten, jedoch keine administrativen Berechtigungen und keine Benutzerinteraktion. Gelingt der Angriff, kann er das System vollständig übernehmen und damit die Kontrolle über die Anwendung samt der darin verwalteten Produkt- und Konstruktionsdaten erlangen. Betroffen ist die serverseitig betriebene Agile-PLM-Anwendung. Da solche Systeme zentrale, oft schützenswerte Entwicklungs- und Lieferketteninformationen bündeln, wiegt eine vollständige Übernahme besonders schwer.