CVE-2022-21587

Oracle E-Business Suite

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-02-02

Официальное описание

Oracle E-Business Suite contains an unspecified vulnerability that allows an unauthenticated attacker with network access via HTTP to compromise Oracle Web Applications Desktop Integrator.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-21587 — это критическая уязвимость (CVSS 9.8), обнаруженная в компоненте Oracle Web Applications Desktop Integrator (Web ADI) системы Oracle E-Business Suite (EBS). Проблема связана с механизмом загрузки файлов через сервлет UploadContext.

Уязвимость позволяет неавторизованному злоумышленнику передать специально сформированный HTTP-запрос для загрузки произвольных файлов на сервер приложений. Из-за некорректной проверки путей и типов файлов атакующий может добиться выполнения произвольного кода (RCE) в контексте пользователя, запустившего сервисы Oracle EBS. Это дает полный контроль над сервером приложений и доступ к конфиденциальным данным организации без необходимости ввода логина и пароля.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка соответствующих патчей безопасности от Oracle (Critical Patch Update - CPU).

  1. Определите текущую версию Oracle E-Business Suite (уязвимы версии 12.2.3 – 12.2.11).
  2. Скачайте необходимое обновление через портал My Oracle Support (MOS).
  3. Примените патч в соответствии с вашей версией:
  4. Для версии 12.2: необходимо применить патч 33527670 или более поздний кумулятивный пакет обновлений.
  5. Используйте утилиту adpatch или adop (в зависимости от конфигурации) для применения исправлений:
adop phase=prepare


adop phase=apply patches=33527670


adop phase=finalize


adop phase=cutover


adop phase=cleanup

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих компенсирующих мер:

  1. Ограничьте доступ к сервлету UploadContext на уровне сетевого экрана (WAF) или обратного прокси-сервера (Reverse Proxy). Заблокируйте внешние запросы к следующим путям:
/OA_HTML/BneUploaderService


/OA_HTML/BneViewerXMLService

  1. Настройте правила WAF для блокировки POST-запросов, содержащих попытки выхода за пределы директории (Directory Traversal) или загрузку исполняемых файлов (.jsp, .jspx, .pl) в директории Web ADI.

  2. Проверьте файловую систему на наличие подозрительных файлов в директории $COMMON_TOP/temp и других временных папках Oracle EBS, которые могли быть созданы в процессе эксплуатации.

  3. Ограничьте сетевой доступ к портам HTTP/HTTPS сервера Oracle EBS, разрешив подключения только из доверенных внутренних сетей или через VPN.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей