CRITICAL🇬🇧 English

CVE-2025-53037

Pominięcie uwierzytelnienia w Oracle Financial Services Analytical Applications Infrastructure

CVSS 9.8v3.1pub. 2025-10-21upd. 2025-10-23

Krytyczna podatność w komponencie Platform produktu Oracle Financial Services Analytical Applications Infrastructure umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem przez sieć HTTP. Ze względu na brak wymaganych uprawnień i interakcji użytkownika podatność jest wyjątkowo łatwa do wykorzystania.

Pokaż oryginał (EN)

Vulnerability in the Oracle Financial Services Analytical Applications Infrastructure product of Oracle Financial Services Applications (component: Platform). Supported versions that are affected are 8.0.7.9, 8.0.8.7 and 8.1.2.5. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Financial Services Analytical Applications Infrastructure. Successful attacks of this vulnerability can result in takeover of Oracle Financial Services Analytical Applications Infrastructure. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

🤖 Analiza AI
Jak działa

Podatność klasyfikowana jako CWE-306 (Missing Authentication for Critical Function) oznacza, że krytyczne funkcje komponentu Platform są dostępne bez jakiegokolwiek uwierzytelnienia. Atakujący z dostępem sieciowym do systemu może wysyłać żądania HTTP bezpośrednio do chronionych zasobów, omijając mechanizmy kontroli dostępu. Nie są wymagane żadne poświadczenia ani interakcja po stronie użytkownika, co czyni atak w pełni zautomatyzowalnym.

Skutki

Skuteczne wykorzystanie podatności prowadzi do całkowitego przejęcia systemu Oracle Financial Services Analytical Applications Infrastructure, w tym naruszenia poufności, integralności i dostępności danych. Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych finansowych i analitycznych, modyfikować je oraz powodować niedostępność usługi (DoS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w ramach Oracle Critical Patch Update z października 2025 roku: https://www.oracle.com/security-alerts/cpuoct2025.html. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do komponentu Platform wyłącznie do zaufanych hostów na poziomie firewall oraz monitorowanie ruchu HTTP kierowanego do systemu.

Kogo dotyczy

Oracle Financial Services Analytical Applications Infrastructure w wersjach 8.0.7.9, 8.0.8.7 oraz 8.1.2.5 (komponent: Platform).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oracle Financial Services Analytical Applications Infrastructure

    APP
    Oracle
    8.0.7.9.08.0.8.7.08.1.2.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassDoS
CWE
Referencje

Powiązane podatności

CVE-2022-22963CRITICAL9.8⚠ KEVten sam produkt

In Spring Cloud Function versions 3.1.6, 3.2.2 and older unsupported versions, when using routing functionalit...

CVE-2022-22965CRITICAL9.8⚠ KEVten sam produkt

A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) ...

CVE-2021-26291CRITICAL9.1ten sam produkt

Apache Maven will follow repositories that are defined in a dependency’s Project Object Model (pom) which may ...

CVE-2020-10683CRITICAL9.8ten sam produkt

dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and External Entities by default, which might e...

CVE-2020-9546CRITICAL9.8ten sam produkt

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and ty...