Kwetsbaarheden en Oplossingen in Oracle Commerce: Een Overzicht

Inleiding

Kwetsbaarheden in software kunnen ernstige veiligheidsrisico’s opleveren. Oracle heeft recentelijk diverse kwetsbaarheden in hun Commerce-platform ontdekt en aangepakt. Dit document biedt een uitgebreide toelichting op deze kwetsbaarheden, hun mogelijke gevolgen, en de geboden oplossingen.

Overzicht van Kwetsbaarheden

Oracle Commerce was onderhevig aan verschillende kwetsbaarheden die aanzienlijke effecten konden hebben op de werking en veiligheid van het platform. Enkele van de belangrijkste beveiligingsproblemen zijn:

Kenmerken van de Kwetsbaarheden

1. Expression Language Injection – Foutieve neutralisatie van speciale elementen in een expressietaalverklaring.
2. Improper Input Validation – Onvoldoende validatie van gebruikersinvoer.
3. Exception Handling – Onjuiste afhandeling van uitzonderlijke omstandigheden.
4. Uncontrolled Resource Consumption – Overmatig gebruik van systeembronnen zonder beperkingen.
5. Extern Toegankelijke Bestanden – Bestanden en mappen die toegankelijk zijn voor onbevoegde partijen.
6. Improper Resource Shutdown – Foutieve afsluiting of vrijgave van systeembronnen.
7. Code Injection – Ongecontroleerde generatie van code door foutieve beheersmaatregelen.
8. XML External Entity Reference – Onvoldoende beperkte verwijzingen naar externe entiteiten in XML.
9. Beperkte Hulpbrontoewijzing – Toewijzing van systeembronnen zonder limieten.

Potentiële Impact op het Systeem

Een kwaadwillende gebruiker zou deze kwetsbaarheden kunnen misbruiken, wat kan leiden tot ernstige schade:

1. Denial-of-Service (DoS) – Verstoringen in de beschikbaarheid van diensten.
2. Datalekkage – Ongeautoriseerde toegang tot gevoelige gegevens.
3. Gegevensmanipulatie – Wijzigingen in data zonder toestemming.
4. Uitvoering van Kwetsbare Code – Mogelijkheid om ongewenste code uit te voeren, zowel met gebruikers- als administratorrechten.

Betrokken Platforms en Productversies

De kwetsbaarheden zijn specifiek gevonden in de volgende versies van Oracle Commerce-producten:

• Platforms:

  • Oracle Commerce
  • Oracle Commerce Guided Search
  • Oracle Commerce Platform

• Versies:

  • 11.3.0, 11.3.1, 11.3.2, 11.4.0

Geïmplementeerde Oplossingen

Oracle heeft updates uitgebracht om deze veiligheidsproblemen op te lossen. Gebruikers worden sterk aangeraden de laatste updates en patches te installeren. Meer informatie over deze updates is te vinden op de Oracle Security Alerts-pagina.

CVE Referenties

De specifieke kwetsbaarheden zijn geregistreerd onder de volgende CVE-identificaties:

• CVE-2019-10172
• CVE-2020-13956
• CVE-2021-23358
• CVE-2021-28170
• CVE-2022-46337
• CVE-2023-2976
• CVE-2023-20863
• CVE-2024-26308
• CVE-2024-34750

Het Nationaal Cyber Security Centrum (NCSC) heeft de informatie met zorg samengesteld. Echter, volledige nauwkeurigheid kan niet worden gegarandeerd. Deze advisory is bedoeld als algemene informatie voor professionele gebruikers. Voor een volledig begrip van de veiligheidsupdates en juridische voorwaarden, is het aan te raden de vrijwaringsverklaring van het NCSC te lezen en te accepteren.

Door tijdig de nodige patches toe te passen, kunnen organisaties zichzelf beschermen tegen ongeautoriseerde aanvallen en datalekken als gevolg van de genoemde kwetsbaarheden.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----