2023-0899: Oracle PeopleSoft Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-04-19 15:22): Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und dadurch die betroffene Komponente zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen sowie einen Cross-Site-Scripting (XSS)-, einen HTTP-Response-Splitting-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2022-36033 kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht am Patchtag im April 2023 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten PeopleSoft Enterprise HCM Human Resources 9.2 sowie PeopleSoft Enterprise PeopleTools 8.58, 8.59 und 8.60.

Schwachstellen:

CVE-2020-14343

Schwachstelle in PyYAML ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2022-34169

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2022-36033

Schwachstelle in jsoup ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41881

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2022-41915

Schwachstelle in Netty ermöglicht HTTP-Response-Splitting-Angriff

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-45685

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-45693