Oracle PeopleSoft HRMS 9.0/9.1 Candidate Gateway Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in Oracle PeopleSoft HRMS 9.0/9.1 ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Candidate Gateway. Durch das Manipulieren mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2013-0394 gehandelt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird Patching empfohlen.

Detailsinfo

In Oracle PeopleSoft HRMS 9.0/9.1 (Enterprise Resource Planning Software) wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es unbekannter Programmcode der Komponente Candidate Gateway. Durch die Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:

Unspecified vulnerability in the PeopleSoft HRMS component in Oracle PeopleSoft Products 9.0 and 9.1 allows remote attackers to affect confidentiality via unknown vectors related to Candidate Gateway.

Die Schwachstelle wurde am 15.01.2013 von Oracle als cpujan2013-1515902 in Form eines nicht definierten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von oracle.com heruntergeladen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 07.12.2012 mit CVE-2013-0394 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat offensichtlich sofort reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 57299†) und Vulnerability Center (SBV-38069†) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Zusätzliche Informationen finden sich unter isc.sans.edu. Von weiterem Interesse können die folgenden Einträge sein: VDB-7067, VDB-7372, VDB-7391 und VDB-7380. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Timelineinfo

07.12.2012 🔍
12.01.2013 +36 Tage 🔍
15.01.2013 +3 Tage 🔍
15.01.2013 +0 Tage 🔍
15.01.2013 +0 Tage 🔍
16.01.2013 +1 Tage 🔍
16.01.2013 +0 Tage 🔍
18.01.2013 +2 Tage 🔍
23.04.2017 +1556 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Advisory: cpujan2013-1515902
Firma: Oracle
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2013-0394 (🔍)
GCVE (CVE): GCVE-0-2013-0394
GCVE (VulDB): GCVE-100-7384
SecurityFocus: 57299 - Oracle January 2013 Critical Patch Update Multiple Vulnerabilities
Vulnerability Center: 38069 - [cpujan2013-1515902] Oracle PeopleSoft HRMS 9.0 and 9.1 Remote Read Access Vulnerability, Medium

Heise: 1784435
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 18.01.2013 09:45
Aktualisierung: 23.04.2017 14:26
Anpassungen: 18.01.2013 09:45 (64), 23.04.2017 14:26 (3)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!