2022-1616: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2022-07-20 12:16)
- Neues Advisory
Betroffene Software
Middleware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in JD Edwards EnterpriseOne Tools und JD Edwards EnterpriseOne Orchestrator aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Informationen auszuspähen, einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Oracle stellt im Zuge des Juli 2022 Patchtages Sicherheitsupdates für JD Edwards EnterpriseOne Tools 9.2.6.3 und JD Edwards EnterpriseOne Orchestrator 9.2.6.3 bereit, um die Schwachstellen zu adressieren.
Mit der Behebung der Schwachstellen CVE-2021-22931 und CVE-2021-41184 werden auch die Schwachstellen CVE-2021-22939, CVE-2021-22940, CVE-2021-41182 und CVE-2021-41183 adressiert.
Schwachstellen:
CVE-2021-22931
Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-AngriffCVE-2021-31684
Schwachstelle in Json-smart ermöglicht Denial-of-Service-AngriffCVE-2021-41184
Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-AngriffCVE-2022-21532
Schwachstelle in Oracle JD Edwards ermöglicht Ausspähen von InformationenCVE-2022-21542
Schwachstelle in Oracle JD Edwards ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21561
Schwachstelle in Oracle JD Edwards ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.