Múltiples vulnerabilidades afectan Oracle Application Testing Suite

La firma tecnológica Oracle publicó recientemente un informe revelando múltiples vulnerabilidades de seguridad presentes en Oracle Application Testing Suite. Las fallas varían en cuanto a severidad, aunque el reporte de seguridad de aplicaciones web menciona al menos una vulnerabilidad crítica.

El primer reporte se refiere a una vulnerabilidad en el componente Oracle Flow Builder del producto Enterprise Manager. Esta falla es fácilmente explotable y permite a un hacker no autenticado acceder a la red mediante HTTP para tomar control total de la implementación de Oracle para explotar la vulnerabilidad conocida como CVE-2016-4000.

La siguiente falla de seguridad es una vulnerabilidad no especificada en Oracle Application Testing Suite del subcomponente Oracle Enterprise Manager Load Testing for Web Apps. Un hacker remoto podría acceder a la red vía HTTP para comprometer la implementación de Oracle, bloquear subprocesos o incluso generar condiciones de denegación de servicio, mencionan los especialistas en seguridad de aplicaciones web.

Oracle también reveló la presencia de una vulnerabilidad no especificad en el subcomponente Oracle Enterprise Manager Load Testing for Web Apps. Un hacker remoto puede acceder a la red vía HTTP; generando interacción con un usuario, el atacante podría afectar productos adicionales, vulnerabilidad conocida como CVE-2017-14735.

El siguiente escenario planteado por los expertos en seguridad de aplicaciones web se relaciona con una vulnerabilidad no especificada en Oracle Application Testing Suite del subcomponente Oracle Enterprise Manager Load Testing (Application Developer Framework). Explotando la vulnerabilidad CVE-2019-2904, un atacante remoto no autenticado podría tomar control total de Oracle Application Testing Suite.

En el informe de Oracle también aparece la vulnerabilidad identificada como CVE-2019-11358. De ser explotada, esta falla permitiría a los actores de amenazas generar interacción humana para afectar productos adicionales a Oracle Enterprise Manager Oracle Flow Builder (jQuerry).  

Los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) menciona que las mitigaciones para todas estas fallas de seguridad se encuentran en el parche crítico de Oracle, lanzado durante los primeros días de enero de 2020, por lo que los administradores de estas implementaciones sólo deben instalar el parche. Para mayores detalles, consulte el sitio web oficial de la compañía.