DFN-CERT

Advisory-Archiv

2022-1614: Oracle PeopleSoft Enterprise PeopleTools: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2022-07-20 12:45)
Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Cross-Site-Scripting (XSS)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt im Rahmen des Patchtags im Juli 2022 Sicherheitsupdates für PeopleSoft Enterprise PeopleTools 8.58 und 8.59 bereit, mit denen die Schwachstellen adressiert werden.

Im Zuge der Behebung der Schwachstellen CVE-2021-41182 und CVE-2022-24729 werden auch die Schwachstellen CVE-2021-41183, CVE-2021-41184 und CVE-2022-24728 adressiert.

Schwachstellen:

CVE-2018-25032

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2020-36518

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2020-7656

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-31684

Schwachstelle in Json-smart ermöglicht Denial-of-Service-Angriff

CVE-2021-41182

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-21512

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

CVE-2022-21520

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2022-21521

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

CVE-2022-21543

Schwachstelle in Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2022-23437

Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff

CVE-2022-24729

Schwachstelle in CKEditor und Drupal Core ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.