Oracle Communications Cloud Native Core Policy bis 23.1.8/23.2.4 Install/Upgrade erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
In Oracle Communications Cloud Native Core Policy bis 23.1.8/23.2.4 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Install/Upgrade. Die Bearbeitung verursacht eine unbekannte Schwachstelle. Die Identifikation der Schwachstelle wird mit CVE-2023-4039 vorgenommen. Der Angriff lässt sich über das Netzwerk starten. Es existiert kein Exploit.
Details
Es wurde eine Schwachstelle in Oracle Communications Cloud Native Core Policy bis 23.1.8/23.2.4 (Cloud Software) gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um ein unbekannter Teil der Komponente Install/Upgrade. Im Rahmen von CWE wurde eine Klassifizierung als CWE-693 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird. CVE fasst zusammen:
**DISPUTED**A failure in the -fstack-protector feature in GCC-based toolchains
that target AArch64 allows an attacker to exploit an existing buffer
overflow in dynamically-sized local variables in your application
without this being detected. This stack-protector failure only applies
to C99-style dynamically-sized local variables or those created using
alloca(). The stack-protector operates as intended for statically-sized
local variables.
The default behavior when the stack-protector
detects an overflow is to terminate your application, resulting in
controlled loss of availability. An attacker who can exploit a buffer
overflow without triggering the stack-protector might be able to change
program flow control to cause an uncontrolled loss of availability or to
go further and affect confidentiality or integrity. NOTE: The GCC project argues that this is a missed hardening bug and not a vulnerability by itself.Die Schwachstelle wurde am 17.10.2023 als Oracle Critical Patch Update Advisory - October 2023 publik gemacht. Auf oracle.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2023-4039 geführt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 216223 (Oracle Linux 8 : gcc (ELSA-2025-1301)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat also sofort reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (216223) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.7
VulDB Base Score: 4.8
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.8
NVD Vector: 🔍
CNA Base Score: 4.8
CNA Vector (Arm Limited): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-693
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 216223
Nessus Name: Oracle Linux 8 : gcc (ELSA-2025-1301)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
01.08.2023 🔍17.10.2023 🔍
17.10.2023 🔍
18.10.2023 🔍
23.06.2026 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Critical Patch Update Advisory - October 2023
Status: Bestätigt
CVE: CVE-2023-4039 (🔍)
GCVE (CVE): GCVE-0-2023-4039
GCVE (VulDB): GCVE-100-242562
Eintrag
Erstellt: 18.10.2023 06:14Aktualisierung: 23.06.2026 20:23
Anpassungen: 18.10.2023 06:14 (38), 08.11.2023 10:54 (2), 08.11.2023 11:00 (13), 14.06.2024 02:08 (24), 13.02.2025 17:26 (3), 23.06.2026 20:23 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.