阿里云漏洞库

Oracle E-Business Suite up to 12.2.7 Oracle Applications Framework 访问控制漏洞

CVE编号

CVE-2018-2971

利用情况

暂无

补丁情况

N/A

披露时间

2018-10-17

漏洞描述

Oracle电子商务套件(子组件:REST服务)的Oracle应用程序框架组件中的漏洞。受影响的受支持版本有12.1.3、12.2.3、12.2.4、12.2.5、12.2.6和12.2.7。易于利用的漏洞允许低权限的攻击者通过HTTP访问网络，从而破坏Oracle应用程序框架。此漏洞的成功攻击可能导致对Oracle应用程序框架可访问数据子集的未授权读访问。CVSS 3.0基本评分4.3(保密影响)。CVSS矢量：(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

参考链接
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/105620
http://www.securitytracker.com/id/1041897

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	applications_framework	12.1.3	-
	运行在以下环境
	应用	oracle	applications_framework	12.2.3	-
	运行在以下环境
	应用	oracle	applications_framework	12.2.4	-
	运行在以下环境
	应用	oracle	applications_framework	12.2.5	-
	运行在以下环境
	应用	oracle	applications_framework	12.2.6	-
	运行在以下环境
	应用	oracle	applications_framework	12.2.7	-

攻击路径

网络
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

无
保密性

低
完整性

无

CWE-ID	漏洞类型
NVD-CWE-noinfo

Oracle E-Business Suite up to 12.2.7 Oracle Applications Framework 访问控制漏洞

漏洞描述

解决建议

参考链接

受影响软件情况