Krytyczna podatność w komponencie Platform produktu Oracle Financial Services Analytical Applications Infrastructure umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem przez sieć HTTP. Ze względu na brak wymaganych uprawnień i interakcji użytkownika podatność jest wyjątkowo łatwa do wykorzystania.
▸ Pokaż oryginał (EN)
Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Financial Services Analytical Applications Infrastructure. Successful attacks of this vulnerability can result in takeover of Oracle Financial Services Analytical Applications Infrastructure. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Podatność klasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że krytyczne funkcje komponentu Platform są dostępne bez jakiegokolwiek uwierzytelnienia. Atakujący z dostępem sieciowym do systemu może wysyłać żądania HTTP bezpośrednio do chronionych zasobów, omijając mechanizmy kontroli dostępu. Nie są wymagane żadne poświadczenia ani interakcja po stronie użytkownika, co czyni atak w pełni zautomatyzowalnym.
Skuteczne wykorzystanie podatności prowadzi do całkowitego przejęcia systemu Oracle Financial Services Analytical Applications Infrastructure, w tym naruszenia poufności, integralności i dostępności danych. Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych finansowych i analitycznych, modyfikować je oraz powodować niedostępność usługi (DoS).
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w ramach Oracle Critical Patch Update z października 2025 roku: https://www.oracle.com/security-alerts/cpuoct2025.html. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do komponentu Platform wyłącznie do zaufanych hostów na poziomie firewall oraz monitorowanie ruchu HTTP kierowanego do systemu.
Oracle Financial Services Analytical Applications Infrastructure w wersjach 8.0.7.9, 8.0.8.7 oraz 8.1.2.5 (komponent: Platform).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOracle Financial Services Analytical Applications Infrastructure
APPOracle8.0.7.9.08.0.8.7.08.1.2.5.0
Powiązane podatności
In Spring Cloud Function versions 3.1.6, 3.2.2 and older unsupported versions, when using routing functionalit...
A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) ...
Apache Maven will follow repositories that are defined in a dependency’s Project Object Model (pom) which may ...
dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and External Entities by default, which might e...
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and ty...