Krytyczna podatność w komponencie File Transmission produktu Oracle Payments (Oracle E-Business Suite) umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad systemem. Podatność jest łatwa do wykorzystania i nie wymaga żadnej interakcji użytkownika ani uprawnień.
▸ Pokaż oryginał (EN)
Vulnerability in the Oracle Payments product of Oracle E-Business Suite (component: File Transmission). Supported versions that are affected are 12.2.3-12.2.15. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Payments. Successful attacks of this vulnerability can result in takeover of Oracle Payments. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Atakujący z dostępem sieciowym do systemu za pośrednictwem protokołu HTTP może wykorzystać brak właściwego uwierzytelnienia lub kontroli uprawnień w komponencie File Transmission (CWE-287, CWE-306, CWE-269). Podatność pozwala na uzyskanie nieautoryzowanego dostępu do funkcji systemu bez konieczności posiadania poświadczeń. Niski poziom złożoności ataku oraz brak wymagań wstępnych czynią tę podatność szczególnie niebezpieczną w środowiskach eksponowanych na sieć.
Skuteczny atak prowadzi do pełnego przejęcia systemu Oracle Payments, z możliwością naruszenia poufności, integralności oraz dostępności danych i usług finansowych obsługiwanych przez ten produkt.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — Oracle Critical Patch Update (CPU) z maja 2026 roku, dostępne pod adresem: https://www.oracle.com/security-alerts/cspumay2026.html
Oracle Payments w ramach Oracle E-Business Suite, wersje 12.2.3 do 12.2.15 (włącznie), komponent File Transmission.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOracle E Business Suite
APPOracle12.2.3 – 12.2.15
Powiązane podatności
Vulnerability in the Oracle Web Applications Desktop Integrator product of Oracle E-Business Suite (component:...
Krytyczny Auth Bypass w Oracle Internet Procurement Connector (E-Business Suite)
Krytyczny Auth Bypass w Oracle E-Business Suite — moduł iSurvey
Vulnerability in the Oracle One-to-One Fulfillment component of Oracle E-Business Suite (subcomponent: OCM Que...
Vulnerability in the Oracle Performance Management component of Oracle E-Business Suite (subcomponent: Perform...