Agile Product Lifecycle Management (PLM)

Die Schwachstelle betrifft Oracle Agile Product Lifecycle Management (PLM), eine Software zur Verwaltung von Produktdaten über deren gesamten Lebenszyklus hinweg. Der Fehler steckt im Bestandteil Process Extension des mitgelieferten Software Development Kit und beruht auf einer fehlerhaften Berechtigungsprüfung: Zugriffe, die eigentlich eine Autorisierung erfordern würden, werden nicht korrekt abgesichert. Ausnutzen lässt sich die Lücke aus der Ferne über das Netzwerk per HTTP, ganz ohne Anmeldung und ohne gültige Zugangsdaten. Ein unauthentifizierter Angreifer kann dadurch unbefugt auf Dateien und auf schützenswerte Daten zugreifen – im ungünstigsten Fall auf sämtliche Informationen, die über das Agile PLM Framework erreichbar sind. Der Angriff zielt allein auf die Vertraulichkeit der Daten; ein Verändern oder Löschen ist auf diesem Weg nicht möglich. Betroffen sind Organisationen, die diese Produktdaten-Plattform einsetzen und deren Schnittstelle aus dem Netz erreichbar ist.