Podatność w komponencie Core usługi Oracle REST Data Services (ORDS) umożliwia niskouprawionemu atakującemu zdalne przejęcie kontroli nad systemem poprzez sieć HTTPS. Ocena CVSS 9.9 czyni ją jedną z najpoważniejszych klas zagrożeń, wpływającą potencjalnie na dodatkowe produkty powiązane z ORDS.
▸ Pokaż oryginał (EN)
Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0-26.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle REST Data Services. While the vulnerability is in Oracle REST Data Services, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle REST Data Services. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Atakujący posiadający minimalne uprawnienia sieciowe (low privileged) może wykorzystać podatność za pośrednictwem protokołu HTTPS bez konieczności jakiejkolwiek interakcji po stronie użytkownika. Podatność jest łatwa do wykorzystania (Attack Complexity: Low), a jej zakres wykracza poza sam produkt (scope change), co oznacza, że skuteczny atak może naruszyć również inne systemy lub usługi Oracle współpracujące z ORDS. Szczegółowy mechanizm techniczny nie został ujawniony w opisie producenta.
Skuteczne wykorzystanie podatności prowadzi do pełnego przejęcia instancji Oracle REST Data Services, obejmując naruszenie poufności, integralności i dostępności danych oraz usług. Atak może ponadto istotnie wpłynąć na dodatkowe produkty zintegrowane z ORDS.
Należy jak najszybciej zastosować patche dostępne u producenta opisane w biuletynie Oracle Critical Patch Update z maja 2026 r. (https://www.oracle.com/security-alerts/cspumay2026.html). Do czasu aktualizacji zaleca się ograniczenie dostępu do usługi ORDS wyłącznie do zaufanych sieci oraz weryfikację uprawnień kont mogących łączyć się z usługą przez HTTPS.
Oracle REST Data Services (ORDS) w wersjach 24.2.0 do 26.1.0 (włącznie)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HOracle Rest Data Services
APPOracle24.2.0 – 26.1.0
Powiązane podatności
Krytyczna podatność w Oracle REST Data Services umożliwiająca przejęcie kontroli
Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli bez uwierzytelnienia
In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration w...
In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTT...
Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0...