Oracle heeft in versie 12.2.1.4.0 van de Oracle Identity Manager Connector meerdere beveiligingslekken gedicht. De impact was fors: zonder in te loggen kon een aanvaller via HTTP(S) op afstand acties uitvoeren en zo kritieke gegevens aanmaken, verwijderen of aanpassen. Ook kon misbruik leiden tot een vastloper of crash van de service (denial-of-service).

Daarnaast bleek een apart lek te bestaan waarbij een gebruiker met beperkte rechten via LDAP toch toegang kon krijgen tot gevoelige data, met de mogelijkheid die te lezen, wijzigen of verwijderen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.