Oracle Category Management Planning / Optimization 15.0.3 ODI Integration Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.8 | $5k-$25k | 0.00 |
Es wurde eine sehr kritische Schwachstelle in Oracle Category Management Planning sowie Optimization 15.0.3 gefunden. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente ODI Integration. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 15.07.2020 als Oracle Critical Patch Update Advisory - July 2020 in Form eines bestätigten Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter oracle.com. Die Identifikation der Schwachstelle wird mit CVE-2020-1945 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $5k-$25k kosten (Preisberechnung vom 16.07.2020). Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.
Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Oracle hat daher unmittelbar gehandelt.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 155289, 158073, 158074 und 158075.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.2VulDB Meta Temp Score: 8.0
VulDB Base Score: 9.1
VulDB Temp Score: 8.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Hersteller Base Score (Oracle): 9.1
Hersteller Vector (Oracle): 🔍
NVD Base Score: 6.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
02.12.2019 🔍15.07.2020 🔍
15.07.2020 🔍
16.07.2020 🔍
02.11.2020 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Critical Patch Update Advisory - July 2020
Status: Bestätigt
CVE: CVE-2020-1945 (🔍)
Siehe auch: 🔍
Eintrag
Erstellt: 16.07.2020 09:27Aktualisierung: 02.11.2020 09:06
Anpassungen: 16.07.2020 09:27 (67), 02.11.2020 09:06 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.