Podatność w komponencie Backend-as-a-Service systemu Oracle REST Data Services (wersje 24.2.0–26.1.0) umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie usługi przez sieć via HTTPS. Ocena CVSS 10.0 oznacza maksymalne ryzyko dla poufności, integralności i dostępności danych.
▸ Pokaż oryginał (EN)
Vulnerability in Oracle REST Data Services (component: Backend-as-a-Service). Supported versions that are affected are 24.2.0-26.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Oracle REST Data Services. While the vulnerability is in Oracle REST Data Services, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle REST Data Services. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Atakujący z dostępem sieciowym może bez żadnych poświadczeń i bez interakcji użytkownika skierować odpowiednio spreparowane żądania HTTPS do Oracle REST Data Services. Podatność jest łatwa do wykorzystania (niski poziom złożoności ataku) i może prowadzić do całkowitego przejęcia kontroli nad usługą. Co istotne, ze względu na zmianę zakresu (scope change), skuteczny atak może negatywnie wpłynąć również na inne produkty powiązane z zaatakowaną instancją.
Atakujący może uzyskać pełną kontrolę nad Oracle REST Data Services, co wiąże się z nieautoryzowanym dostępem do danych, ich modyfikacją oraz potencjalnym zakłóceniem działania usługi, a skutki mogą obejmować także inne produkty w środowisku.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Oracle Critical Patch Update z maja 2026 roku (https://www.oracle.com/security-alerts/cspumay2026.html). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do instancji Oracle REST Data Services na poziomie firewall.
Oracle REST Data Services w wersjach 24.2.0 do 26.1.0 (komponent: Backend-as-a-Service)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HOracle Rest Data Services
APPOracle24.2.0 – 26.1.0
Powiązane podatności
Krytyczna podatność w Oracle REST Data Services umożliwiająca przejęcie kontroli
Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli
In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration w...
In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTT...
Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0...