Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

Forwarded from Репорты простым языком

🔓 Oracle EBS: Как украсть данные без пароля

Злоумышленник может получить доступ к конфиденциальным данным без логина и пароля, просто отправив HTTP-запрос.

💡 Суть: В Oracle Configurator (Runtime UI) обнаружен обход аутентификации. Система не проверяет аутентификацию и выдаёт конфиденциальные данные кому угодно.

🔗 Как работает:
1. HTTP-запрос к Runtime UI
2. Система пропускает проверку (ошибка!)
3. Доступ к бизнес-данным, моделям, ценам

🚨 Масштаб: Oracle EBS используется тысячами компаний. Затронуты версии 12.2.3-12.2.14. Неделей ранее CVE-2025-61882 эксплуатировала группа Cl0p.

🧠 Вывод: Критические компоненты ВСЕГДА должны проверять аутентификацию на сервере. Oracle выпустила патч 11 октября — применяйте немедленно!

Полный разбор:
https://eh.su/reports/145

www.tgoop.com/cisohack/3237

4 viewsOct 12 at 15:17

🔓 Oracle EBS: Как украсть данные без пароля

Злоумышленник может получить доступ к конфиденциальным данным без логина и пароля, просто отправив HTTP-запрос.

💡 Суть: В Oracle Configurator (Runtime UI) обнаружен обход аутентификации. Система не проверяет аутентификацию и выдаёт конфиденциальные данные кому угодно.

🔗 Как работает:
1. HTTP-запрос к Runtime UI
2. Система пропускает проверку (ошибка!)
3. Доступ к бизнес-данным, моделям, ценам

🚨 Масштаб: Oracle EBS используется тысячами компаний. Затронуты версии 12.2.3-12.2.14. Неделей ранее CVE-2025-61882 эксплуатировала группа Cl0p.

🧠 Вывод: Критические компоненты ВСЕГДА должны проверять аутентификацию на сервере. Oracle выпустила патч 11 октября — применяйте немедленно!

Полный разбор:
https://eh.su/reports/145

BY Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности