Fusion Middleware

Die Schwachstelle betrifft das Produkt Identity Manager innerhalb von Oracle Fusion Middleware, konkret die REST-WebServices-Komponente. Identity Manager verwaltet Benutzerkonten, Rollen und Zugriffsrechte und ist damit eine zentrale Stelle für die Vergabe von Berechtigungen. Der Fehler besteht darin, dass eine kritische Funktion ohne die erforderliche Authentifizierung erreichbar ist: Ein Angreifer muss sich also nicht anmelden und keine gültigen Zugangsdaten besitzen. Über das Netzwerk und per HTTP kann ein unauthentifizierter Angreifer aus der Ferne auf diese Funktion zugreifen. Der Angriff gilt als einfach durchführbar und erfordert keine Benutzerinteraktion. Im Erfolgsfall führt er zur vollständigen Übernahme des Identity Manager. Da dieses System die Identitäts- und Rechteverwaltung steuert, gefährdet eine Übernahme nicht nur das Produkt selbst, sondern potenziell sämtliche damit verwalteten Konten und die daran angebundenen Anwendungen.