+- انجمن های تخصصی فلش خور (http://www.flashkhor.com/forum)
+-- انجمن: رایانه (http://www.flashkhor.com/forum/forumdisplay.php?fid=27)
+--- انجمن: مسائل مربوط به سخت افزار، لپتاپ، تبلت، آیفون و ... (http://www.flashkhor.com/forum/forumdisplay.php?fid=29)
+--- موضوع: آسیبپذیری تزریق فرمان در Oracle Fusion Middleware (/showthread.php?tid=144062)
آسیبپذیری تزریق فرمان در Oracle Fusion Middleware - S R U H - 26-07-2014
شناسایی آسیبپذیری نامشخصی در مؤلفهی Oracle Endeca Server متعلق به نسخههای 7.4.0 و 7.5.1.1 از Oracle Fusion Middleware که منجر به دسترسی از راه دور توسط مهاجمان میشود.
پایگاه اطلاعرسانی پلیس فتا: آسیبپذیری نامشخصی در مؤلفهی Oracle Endeca Server متعلق به نسخههای 7.4.0 و 7.5.1.1 از Oracle Fusion Middleware به مهاجمان دارای دسترسی از راه دور و مورد تأیید سامانه اجازه میدهد محرمانگی و جامعیت را به طرق مختلف نقض کنند، گفتنی است این آسیبپذیری که کد آن CVE-2013-3763 است با CVE-2013-3764 متفاوت است. اجرای دستور از راه دور در Oracle Endeca Server این مؤلفهی متااسپلویت از یک آسیبپذیری تزریق فرمان در Endeca Server 7.4.0 سوءاستفاده میکند. این آسیبپذیری در تابع createDataStore از سرویس وب controlSoapBinding وجود دارد. این تابع آسیبپذیر فقط در زیرشاخهی 7.4.0 به چشم میخورد و در 7.5.5.1 یافت نمیشود. از سوی دیگر کاشف به عمل آمده که این تزریق تنها در مورد بستر ویندوز عملی است. این متااسپلویت با موفقیت کامل روی Endeca Server 7.4.0.787 موجود در نسخهی ۶۴ بیتی ویندوز 2008 R2 جواب داده است.