Ранее в этом месяце компания Oracle уже исправила 252 уязвимости в своих продуктах. Теперь компания представила еще один бюллетень безопасности. Баг получил редкие 10 баллов по десятибалльной шкале CVSS и угрожает не только пользователям платформы Fusion Middleware, но и других продуктов.
Уязвимость получила идентификатор CVE-2017-10151 и была обнаружена в составе Oracle Identity Manager, одного из компонентов популярной бизнес-платформы Fusion Middleware, который в частности предназначен для управления идентификационными данными и их распространением.
В силу серьезности бага информации о нем совсем немного. Oracle описывает проблему термином default account, который обычно подразумевает под собой аккаунт без пароля или с жестко закодированными учетными данными (то есть бэкдор). «Уязвимость возможно эксплуатировать удаленно, без аутентификации, то есть возможна удаленная эксплуатация по сети, без пользовательских учетных данных», — гласит официальный бюллетень безопасности. Стоит отметить, что бэкдор-аккаунты, забытые разработчиками в коде продуктов, не редкость, но чаще они доступны только локально, тогда как в данном случае ситуация осложняется возможной эксплуатацией проблемы удаленно, без взаимодействия с пользователем.
Сообщается, что уязвимость присутствует в составе Oracle Identity Manager 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 и 12.2.1.3.0. Также разработчики подтверждают, что более ранние версии продукта тоже могут уязвимы, и баг может негативно сказываться на работе других решений Oracle.