Oracle Retail Order Broker 4.1/5.1/5.2/15.0/16.0 Order Broker Foundation XML External Entity
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in Oracle Retail Order Broker 4.1/5.1/5.2/15.0/16.0 entdeckt. Davon betroffen ist unbekannter Code der Komponente Order Broker Foundation. Die Bearbeitung verursacht XML External Entity. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-5000 gehandelt. Der Angriff muss lokal durchgeführt werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In Oracle Retail Order Broker 4.1/5.1/5.2/15.0/16.0 wurde eine problematische Schwachstelle gefunden. Hierbei betrifft es unbekannter Programmcode der Komponente Order Broker Foundation. Durch das Manipulieren mit einer unbekannten Eingabe kann eine XML External Entity-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-611. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
The XLSX2CSV example in Apache POI before 3.14 allows remote attackers to read arbitrary files via a crafted OpenXML document containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.Am 22.07.2016 wurde das Problem entdeckt. Die Schwachstelle wurde am 19.01.2017 durch Mauro Gentile von Minded Security als Oracle Critical Patch Update Advisory - January 2017 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Auf oracle.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 24.05.2016 mit CVE-2016-5000 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Insgesamt 14 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat folglich sofort reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 92100†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-90610, VDB-95550, VDB-95551 und VDB-95552. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Hersteller Base Score (Oracle): 5.5
Hersteller Vector (Oracle): 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: XML External EntityCWE: CWE-611 / CWE-610
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
24.05.2016 🔍22.07.2016 🔍
22.07.2016 🔍
05.08.2016 🔍
19.01.2017 🔍
19.01.2017 🔍
19.01.2017 🔍
02.11.2022 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Critical Patch Update Advisory - January 2017
Person: Mauro Gentile
Firma: Minded Security
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2016-5000 (🔍)
GCVE (CVE): GCVE-0-2016-5000
GCVE (VulDB): GCVE-100-95674
SecurityFocus: 92100 - Apache POI CVE-2016-5000 XML External Entity Injection Vulnerability
OSVDB: - CVE-2016-5000 - Apache - POI - XML External Entity Issue
SecurityTracker: 1037741
Siehe auch: 🔍
Eintrag
Erstellt: 19.01.2017 14:16Aktualisierung: 02.11.2022 12:59
Anpassungen: 19.01.2017 14:16 (73), 26.07.2020 15:21 (8), 02.11.2022 12:59 (4)
Komplett: 🔍
Cache ID: 216:A00:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.