Oracle E-Business Suite/Applications 9.2.0.7 Local Privilege Escalation
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Oracle E-Business Suite and Applications 9.2.0.7 gefunden. Betroffen hiervon ist ein unbekannter Ablauf. Durch die Manipulation mit unbekannten Daten kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2006-5350 gehandelt. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine kritische Schwachstelle wurde in Oracle E-Business Suite sowie Applications 9.2.0.7 (Supply Chain Management Software) ausgemacht. Hierbei geht es um unbekannter Programmcode. Mit der Manipulation mit einer unbekannten Eingabe kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Unspecified vulnerability in Oracle HTTP Server 9.2.0.7 and Oracle E-Business Suite and Applications 11.5.10CU2 has unknown impact and local attack vectors, aka Vuln# OHS08.Die Schwachstelle wurde am 17.10.2006 durch Esteban Martinez Fayo (Alex) von Application Security, Inc. (Website) veröffentlicht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 17.10.2006 als CVE-2006-5350 statt. Sie ist leicht ausnutzbar. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 21.11.2011 ein Plugin mit der ID 17731 (Oracle HTTP Server (October 2006 CPU)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat hiermit sofort reagiert. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 9066 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (17731), SecurityFocus (BID 20588†), OSVDB (31398†), Secunia (SA22396†) und SecurityTracker (ID 1017077†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-2615, VDB-2614, VDB-32832 und VDB-32831. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.4VulDB Meta Temp Score: 7.6
VulDB Base Score: 8.4
VulDB Temp Score: 7.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Local Privilege EscalationCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 17731
Nessus Name: Oracle HTTP Server (October 2006 CPU)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
TippingPoint: 🔍
SourceFire IPS: 🔍
Timeline
17.10.2006 🔍17.10.2006 🔍
17.10.2006 🔍
17.10.2006 🔍
17.10.2006 🔍
17.10.2006 🔍
17.10.2006 🔍
18.10.2006 🔍
19.10.2006 🔍
21.11.2011 🔍
12.03.2015 🔍
24.04.2026 🔍
Quellen
Hersteller: oracle.comAdvisory: securityfocus.com⛔
Person: Esteban Martinez Fayo (Alex)
Firma: Application Security, Inc.
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-5350 (🔍)
GCVE (CVE): GCVE-0-2006-5350
GCVE (VulDB): GCVE-100-32804
SecurityFocus: 20588 - Oracle October 2006 Security Update Multiple Vulnerabilities
Secunia: 22396 - Oracle Products Multiple Vulnerabilities, Highly Critical
OSVDB: 31398 - Oracle Multiple Products HTTP Server SSL Unspecified Remote Information Disclosure
SecurityTracker: 1017077
Vulnerability Center: 12946 - Oracle Critical Patch Update Oct2006 - Multiple Local Vulnerabilities in Oracle HTTP Server, Low
Vupen: ADV-2006-4065
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 12.03.2015 22:21Aktualisierung: 24.04.2026 15:45
Anpassungen: 12.03.2015 22:21 (80), 10.07.2019 06:46 (5), 24.04.2026 15:45 (17)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.