2025-0175: Oracle PeopleSoft Produkte: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2025-01-22 12:24)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Oracle veröffentlicht am Patchtag im Januar 2024 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten PeopleSoft Enterprise CC Common Application Objects 9.2, PeopleSoft Enterprise FIN Cash Management 9.2, PeopleSoft Enterprise FIN eSettlements 9.2, PeopleSoft Enterprise PeopleTools 8.60 und 8.61 sowie PeopleSoft Enterprise SCM Purchasing 9.2.
Mit der Behebung der Schwachstellen CVE-2024-27280, CVE-2020-22218, CVE-2024-7592, CVE-2024-22020, CVE-2024-5535 werden zusätzlich die Schwachstellen CVE-2024-27281, CVE-2024-27282, CVE-2023-48795, CVE-2024-0397, CVE-2024-4030, CVE-2024-4032, CVE-2024-6232, CVE-2024-22018, CVE-2024-22019, CVE-2024-36137, CVE-2024-36138, CVE-2024-37372, CVE-2024-2511, CVE-2024-4603, CVE-2024-4741 und CVE-2024-6119 adressiert, die aber hier nicht weiter aufgeführt werden.
Mit den verfügbaren Sicherheitsupdates werden zwei weitere Schwachstellen (CVE-2024-38998 und CVE-2024-38999) in der Komponente 'Charting (RequireJS)' behoben, die im Kontext von Oracle PeopleSoft allerdings nicht ausgenutzt werden können.
Schwachstellen:
CVE-2020-22218
Schwachstelle in libssh2 ermöglicht Denial-of-Service-AngriffCVE-2024-22020
Schwachstelle in Node.js ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-27280
Schwachstelle in Ruby ermöglicht Ausspähen von InformationenCVE-2024-28849
Schwachstelle in OpenShift Logging ermöglicht Ausspähen von InformationenCVE-2024-29025
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2024-35195
Schwachstelle in Python Requests ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-37891
Schwachstelle in python-urllib3 ermöglicht Ausspähen von InformationenCVE-2024-5535
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-7592
Schwachstelle in CPython ermöglicht Denial-of-Service-AngriffCVE-2025-21530
Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von InformationenCVE-2025-21537
Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von DatenCVE-2025-21539
Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von DatenCVE-2025-21545
Schwachstelle in Oracle PeopleSoft ermöglicht Denial-of-Service-AngriffCVE-2025-21561
Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von DatenCVE-2025-21562
Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von InformationenCVE-2025-21563
Schwachstelle in Oracle PeopleSoft ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.