Podatność w komponencie Core systemu Oracle REST Data Services (wersje 24.2.0–26.1.0) pozwala niskouprzywilejowanemu atakującemu z dostępem sieciowym przez HTTPS na całkowite przejęcie kontroli nad usługą. Wysoki wynik CVSS 9.9 odzwierciedla krytyczny wpływ na poufność, integralność i dostępność, również w kontekście innych produktów (scope change).
▸ Pokaż oryginał (EN)
Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0-26.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle REST Data Services. While the vulnerability is in Oracle REST Data Services, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle REST Data Services. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Atakujący posiadający jedynie podstawowe uprawnienia sieciowe może za pośrednictwem protokołu HTTPS wykorzystać podatność w komponencie Core Oracle REST Data Services bez konieczności interakcji ze strony użytkownika. Podatność jest łatwa do wykorzystania (niska złożoność ataku). Skuteczny atak może wyjść poza granice bezpośrednio atakowanego produktu i wpłynąć na inne, powiązane systemy (zmiana zakresu).
Atakujący może całkowicie przejąć kontrolę nad Oracle REST Data Services, uzyskując pełny dostęp do danych (naruszenie poufności), możliwość ich modyfikacji (naruszenie integralności) oraz zdolność do wywołania niedostępności usługi (naruszenie dostępności). Atak może również negatywnie oddziaływać na inne produkty połączone z podatną usługą.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — Oracle Critical Patch Update z maja 2026 roku (https://www.oracle.com/security-alerts/cspumay2026.html). Zaleca się niezwłoczną aktualizację do wersji objętej poprawką bezpieczeństwa.
Oracle REST Data Services, komponent Core, wersje 24.2.0 do 26.1.0 włącznie.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HOracle Rest Data Services
APPOracle24.2.0 – 26.1.0
Powiązane podatności
Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli
Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli bez uwierzytelnienia
In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration w...
In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTT...
Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0...