E-Business Suite

Die Schwachstelle betrifft die Oracle E-Business Suite, genauer die Komponente Runtime UI des darin enthaltenen Produkts Oracle Configurator. Es handelt sich um eine sogenannte Server-Side Request Forgery (SSRF): Ein Angreifer bringt den Server dazu, in seinem Namen Netzwerkanfragen an Ziele zu senden, die der Angreifer selbst nicht direkt erreichen könnte. Ausnutzbar ist die Lücke aus der Ferne über HTTP und ohne jede Anmeldung – der Angreifer benötigt also weder Zugangsdaten noch eine Benutzerinteraktion. Gelingt der Angriff, kann er sich unautorisierten Zugriff auf besonders schützenswerte Daten verschaffen, im schlimmsten Fall auf sämtliche über Oracle Configurator zugängliche Daten. Im Vordergrund steht damit die Vertraulichkeit der Daten. Betroffen sind Installationen, bei denen die Runtime-Oberfläche des Configurators über das Netzwerk erreichbar ist – ein für SSRF typisch exponierter Angriffspunkt in einer geschäftskritischen Unternehmensanwendung.