Beveiligingsadvies NCSC-2025-0033 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle E-Business Suite

Inleiding

Oracle heeft recente updates geïmplementeerd om meerdere kwetsbaarheden in de Oracle E-Business Suite aan te pakken. Deze updates zijn essentieel om de beveiliging van de volgende componenten te verbeteren: Advanced Outbound Telephony, Project Foundation, Customer Care, en Workflow.

Kwetsbaarheidsoverzicht

De kwetsbaarheden zijn gedetailleerd beschreven in de officiële waarschuwingen van het Nationaal Cyber Security Centrum (NCSC). Hoewel zij hun uiterste best doen om deze informatie accuraat en actueel te houden, is het belangrijk op te merken dat de digitale versie van deze waarschuwingen enkel een algemene gids is en dat de PGP-ondertekende versies als leidend beschouwd moeten worden. Dit betekent dat de integriteit en validiteit van de informatie gewaarborgd worden door cryptografische handtekeningen.

Identificatie en beoordeling

Kwetsbaarheden

De gemelde problemen omvatten:

  • Improper Preservation of Permissions: Hierbij gaat het om het niet goed beheren van toegangsrechten, waardoor ongewenste toegang mogelijk is.
  • Cross-Site Request Forgery (CSRF): Een kwetsbaarheid die aanvallers in staat stelt om acties uit te voeren op websites namens geauthenticeerde gebruikers.
  • Incorrect Authorization: Verkeerde autorisatie-instellingen kunnen ongeoorloofde toegang tot gevoelige functies of data toestaan.

Beschrijving van de kwetsbaarheden

  1. Advanced Outbound Telephony Component: Deze component bevat een fout die misbruik mogelijk maakt door ongeauthenticeerde kwaadwillenden. Dit kan resulteren in toegang tot gevoelige informatie en wijziging van systeeminstellingen zonder toestemming.

  2. Project Foundation Component: Deze kwetsbaarheid stelt kwaadwillenden met beperkte netwerktoegang in staat om data te creëren, te wijzigen, of te verwijderen zonder toestemming.

  3. Customer Care Component: Deze fout maakt het mogelijk voor aanvallers, met beperkte rechten, via HTTP-verzoeken ongeoorloofde toegang en wijzigingen in data uit te voeren.

  4. Workflow Component: Ook deze is vatbaar voor aanvallen via HTTP-verzoeken door kwaadwillenden met beperkte rechten, hetgeen kan resulteren in ongeautoriseerde datawijzigingen.

Doelgroepen en betroffen versies

De volgende producten en versies worden beïnvloed:

  • Producten: Oracle Advanced Outbound Telephony, Oracle Customer Care, Oracle Project Foundation, en Oracle Workflow.
  • Versies: Versie bereiken liggen tussen 12.2.3 en 12.2.14, met specifieke kwetsbaarheden binnen deze spanningsvelden.

Gegarandeerde oplossingen

Oracle heeft beveiligingspatches uitgebracht om deze kwetsbaarheden te mitigeren. Voor de meest gedetailleerde instructies en updates wordt aangeraden om de Oracle Beveiligingspagina te bezoeken.

Relevante CVE’s

De beveiligingsproblemen zijn gekoppeld aan de volgende Common Vulnerabilities and Exposures (CVE) identificaties:

Juridische Disclaimer

Bij het gebruik van deze veiligheidswaarschuwing accepteert u de voorwaarden die door het NCSC zijn uiteengezet. Hoewel er grote zorg is besteed aan de nauwkeurigheid en volledigheid van deze informatie, kunnen het NCSC noch de Nederlandse Staat aansprakelijkheid aanvaarden voor enige schade voortvloeiend uit het gebruik van deze informatie.

Voor eventuele juridische kwesties zal de bevoegde rechter in Den Haag als scheidsrechter optreden volgens het Nederlands recht.

Met het oog op het verbeteren van uw systeemveiligheid, wordt aangeraden om onmiddellijk actie te ondernemen en de nieuwe updates van Oracle toe te passen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----