شناسایی آسیب پذیری نامشخصی در مؤلفهی Oracle Endeca Server متعلق
به نسخههای ۷٫۴٫۰ و ۷٫۵٫۱٫۱ از Oracle Fusion Middleware که منجر به
دسترسی از راه دور توسط مهاجمان میشود.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، آسیب پذیری نامشخصی در مؤلفهی Oracle Endeca Server متعلق به
نسخههای ۷٫۴٫۰ و ۷٫۵٫۱٫۱ از Oracle Fusion Middleware به مهاجمان دارای
دسترسی از راه دور و مورد تأیید سامانه اجازه میدهد محرمانگی و جامعیت را
به طرق مختلف نقض کنند، گفتنی است این آسیب پذیری که کد آن CVE-2013-3763
است با CVE-2013-3764 متفاوت است.
اجرای دستور از راه دور در Oracle Endeca Server این مؤلفهی
متااسپلویت از یک آسیب پذیری تزریق فرمان در Endeca Server 7.4.0
سوءاستفاده میکند. این آسیب پذیری در تابع createDataStore از سرویس وب
controlSoapBinding وجود دارد.
این تابع آسیب پذیر فقط در زیرشاخهی ۷٫۴٫۰ به چشم میخورد و در
۷٫۵٫۵٫۱ یافت نمیشود. از سوی دیگر کاشف به عمل آمده که این تزریق تنها در
مورد بستر ویندوز عملی است. این متااسپلویت با موفقیت کامل روی Endeca
Server 7.4.0.787 موجود در نسخهی ۶۴ بیتی ویندوز ۲۰۰۸ R2 جواب داده است.