E-Business Suite

Die Schwachstelle betrifft die Oracle E-Business Suite, eine weit verbreitete Unternehmenssoftware für betriebswirtschaftliche Abläufe. Sie sitzt konkret in der Komponente BI Publisher Integration des Teilprodukts Oracle Concurrent Processing, das die Ausführung von Hintergrund- und Stapelverarbeitungsaufträgen steuert. Der Fehler lässt sich aus der Ferne über das Netzwerk per HTTP ausnutzen, und zwar ohne jede Anmeldung und ohne gültige Zugangsdaten. Ein unauthentifizierter Angreifer kann darüber das Concurrent Processing vollständig übernehmen und erlangt damit Kontrolle über diesen Verarbeitungsdienst – mit Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der dort laufenden Vorgänge. Da der Angriff technisch einfach durchführbar ist und keinerlei Vorbedingungen erfordert, ist der Angriffsweg überall dort unmittelbar offen, wo die betroffene Oberfläche aus dem Netz erreichbar ist. Welche genaue Defektart zugrunde liegt, gibt der Hersteller nicht im Detail an.