Honderden kwetsbaarheden in diverse Oracle producten

Oracle heeft tijdens haar kwartaalupdate honderden beveiligingsupdates uitgebracht waarmee kwetsbaarheden in een breed scala aan producten worden verholpen zo meldt het Digital Trust Center (DTC).

De meest kritieke kwetsbaarheden bevinden zich in:

•    Oracle Communications;
•    Oracle Communications Applications; 
•    Oracle Fusion Middleware. 

Wat is het risico?

Binnen het Oracle Communications Cloud Native Core Security Edge Protection Proxy component maakt de kwetsbaarheid met CVE-2022-22947 het mogelijk voor een ongeautoriseerde kwaadwillende om op afstand willekeurige code uit te voeren. Deze kwetsbaarheid is aangemerkt met de hoogst mogelijke CVSS-score van 10.0. 

In Oracle Communications Applications hebben de kwetsbaarheden CVE-2022-22965, CVE-2022-23305 en CVE-2022-23632 een CVSS score van 9.8 gekregen. Deze kwetsbaarheden maken het voor een ongeautoriseerde kwaadwillende op afstand mogelijk om toegang te verkrijgen tot zeer gevoelige gegevens.

Ook in Oracle Fusion Middleware zijn meerdere kwetsbaarheden aangetroffen die het mogelijk maken om gevoelige gegevens in te zien, aan te passen en andere beveiligingsmaatregelen te omzeilen. 

Het NCSC schaalt deze kwetsbaarheden in als 'High/High'; de kans op misbruik op korte termijn én de potentiële schade is groot. Dit advies is gepubliceerd met als referentie: NCSC-2022-0460, NCSC-2022-0461 en NCSC-2022-0462.