CVE-2022-21587
CVE-2022-21587
En resumen
Un defecto de autenticación en Oracle Web Applications Desktop Integrator permite que cualquier persona en la red cargue archivos y asuma el control total de la aplicación sin necesidad de contraseña o inicio de sesión.
Detalle técnico
Vulnerabilidad de ejecución remota de código sin autenticación en el componente Upload debido a falta de controles de autenticación (CWE-306). El ataque requiere solo acceso de red vía HTTP sin precondiciones; la explotación exitosa resulta en compromiso completo de la confidencialidad, integridad y disponibilidad de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Vulnerability in the Oracle Web Applications Desktop Integrator product of Oracle E-Business Suite (component: Upload). Supported versions that are affected are 12.2.3-12.2.11. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Web Applications Desktop Integrator. Successful attacks of this vulnerability can result in takeover of Oracle Web Applications Desktop Integrator. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Oracle Corporation · Web Applications Desktop IntegratorPoCs públicas encontradas — 4
githubgithub.com/hieuminhnv/CVE-2022-21587-POC★ 15githubgithub.com/sahabrifki/CVE-2022-21587-Oracle-EBS-★ 6githubgithub.com/rockmelodies/Oracle-E-BS-CVE-2022-21587-Exploit★ 2cve_referencepacketstormsecurity.com/files/171208/Oracle-E-Business-Suite-EBS-Unauthenticated-Arbitrary-File-Upload.htmlno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →