Critical Flaws in Oracle E-Business Suite
CVE-2019-2638 - https://nvd.nist.gov/vuln/detail/CVE-2019-2638
CVE-2019-2633 - https://nvd.nist.gov/vuln/detail/CVE-2019-2633
Bronnen
https://www.oracle.com/security-alerts/cpuapr2019.html#AppendixEM
Risico’s
Een hacker kan na een succesvolle exploitatie de volledige controle overnemen van de volledige Enterprise Resource Planning (ERP)-oplossing van een onderneming. Dit is mogelijk door het wijzigen van toegangsrechten in de "Consolidation Hierarchy Viewer" component (Oracle General Ledger module), en de ''message'' component (Oracle Work in Process module) binnen de Oracle's E-Business Suite (EBS).
Beschrijving
De twee kritieke beveiligingsproblemen die in Oracle's E-Business Suite (EBS) werden ontdekt, geven hackers de mogelijkheid om de volledige controle over te nemen van de volledige ERP-oplossing van een onderneming.
CVE-2019-2638 (Consolidation Hierarchy Viewer component) en CVE-2019-2633 (Messages component) kregen beiden een 9,9 op 10 als CVSS-score.
Een hacker kan na het succesvol exploiteren onopgemerkt bankcheques afdrukken en elektronische overschrijvingen uitvoeren.
Aanbevolen acties
CERT.be raadt systeembeheerders aan om hun systemen onmiddellijk te patchen naar de laatste versie.