Security Advisory
Rechte-Erweiterung in Oracle Identity Analytics
Durch die Ausnutzung von IDOR-Schwachstellen kann ein niedrig privilegierter Angreifer Zugriff auf Datensätze anderer Nutzer erhalten.
CVE: CVE-2018-3168
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Kritikalität: high
Betroffene Versionen: ≤ 11.1.1.5.8
Behoben in: > 11.1.1.5.8
Gefunden von: Hans-Martin Münch
Produktbeschreibung (englisch)
Oracle Identity Analytics provides enterprises with the ability to define and manage roles and automate critical identity-based controls. Once roles are defined, certified, and assigned, the software continues to deliver scalable and sustainable identity governance.
Details
Oracle Identity Analytics verwendet Direct Web Remoting (DWR), um Remote Procedure Aufrufe aus dem Frontend zu implementieren. Die Methoden, auf die per DWR zugegriffen werden kann, prüfen nicht, ob der aktuelle Nutzer Zugriff auf die Objekte hat, auf welche die angegebenen IDs verweisen. Dies erlaubt, sich Zugriff auf die Daten anderer Nutzer zu erhalten.
Coordinated Disclosure Zeitverlauf
- xx/xx/2018 Meldung der Schwachstelle an Oracle
- 16/10/2018 Veröffentlichung des Oracle Critical Patch Update.