Oracle ha parcheado una vulnerabilidad de ejecución remota de código (RCE) que afecta a Oracle Fusion Middleware y varios otros sistemas de Oracle.
Los investigadores dijeron que le informaron a Oracle en privado sobre una vulnerabilidad grave que descubrieron en Oracle Access Manager, rastreada como CVE-2021–35587. La criticidad de vulnerabilidad era CVSS 9.8 y se describe como una falla “fácilmente explotable” que permite a los atacantes no autenticados a través de HTTP tomar el control de la aplicación.
Mientras trabajaba con Zero Day Initiative (ZDI), esta investigación condujo al descubrimiento de CVE-2022–21445. Esta gran vulnerabilidad, obtuvo una puntuación de gravedad de 9.8, se encontró en la arquitectura de Oracle Application Development Framework (ADF) Faces, un componente de Oracle Fusion Middleware.
El problema de deserialización de datos confiables se puede encadenar con CVE-2022–21497 (CVSS 8.1), una vulnerabilidad de adquisición en Oracle Web Services Manager, para lograr la RCE de autenticación previa.
CVE-2022–21445 afecta una variedad de productos y servicios basados en Fusion Middleware, varios sistemas de Oracle e incluso la infraestructura de nube de Oracle. Los atacantes no autenticados con acceso a la red, a través de HTTP, pueden abusar de la cadena de vulnerabilidades.
Después de probar los servicios y dominios de Oracle, el informe de vulnerabilidad se envió al proveedor el 25 de octubre de 2021. En el mismo mes, Oracle confirmó la recepción del informe y dijo que estaba investigando. Sin embargo, tomó la mayor parte de seis meses para que se emitiera un parche.
Ambas vulnerabilidades se han resuelto en la ronda de parches de abril. Oracle es uno de los muchos proveedores de tecnología, junto con Microsoft y Adobe, que lanza una actualización mensual de parches para corregir vulnerabilidades en su software.
Se insta a las empresas que utilizan software vulnerable de Oracle a aplicar el parche de inmediato.
Otros proveedores potencialmente afectados por el RCE previo a la autenticación fueron notificados a través de sus respectivos programas de recompensas por errores.
Créditos: Raúl Martínez