Kennisbank
Insights
Alerts!
Kwetsbaarheden verholpen in Oracle E-Business Suite componenten
Oracle heeft kwetsbaarheden verholpen in verschillende componenten van Oracle E-Business Suite, waaronder Oracle Payments, Oracle Internet Procurement Connector, Oracle Financials Common Modules, Oracle iAssets, Oracle Public Sector Financials (International), Oracle Universal Work Queue, Oracle Payroll en Oracle Flow Manufacturing, specifiek in versies 12.2.3 tot en met 12.2.15. De kwetsbaarheden maken het mogelijk voor een aanvaller, vaak met lage privileges en via netwerktoegang over HTTP of HTTPS, om kritieke acties uit te voeren zoals het verkrijgen van volledige systeemcompromittatie, het creëren, verwijderen of wijzigen van belangrijke data, en het uitvoeren van SQL-injecties. Sommige kwetsbaarheden stellen een aanvaller in staat om volledige controle over het systeem te verkrijgen, terwijl andere leiden tot ongeautoriseerde toegang en manipulatie van gevoelige gegevens. De kwetsbaarheden zijn aanwezig in verschillende Oracle-producten binnen de genoemde versies en kunnen leiden tot compromittering van vertrouwelijkheid, integriteit en beschikbaarheid van systemen en data.
Kwetsbaarheden verholpen in Oracle Database Server
Oracle heeft kwetsbaarheden verholpen in Oracle REST Data Services (versies 24.2.0 tot 26.1.0) en Oracle Database Server (versies 23.4.0 tot 23.26.2). De kwetsbaarheden in Oracle REST Data Services stellen een aanvaller met lage privileges en netwerktoegang via HTTPS in staat om zonder authenticatie verschillende acties uit te voeren, waaronder het volledig overnemen van de service, ongeautoriseerde toegang tot data, het wijzigen of verwijderen van data, en het veroorzaken van een denial-of-service. Sommige kwetsbaarheden maken het mogelijk om authenticatie te omzeilen en willekeurige acties uit te voeren binnen de getroffen omgeving. Daarnaast kunnen denial-of-service-condities worden veroorzaakt door het laten hangen of crashen van de service. In Oracle Database Server kunnen ongeauthenticeerde aanvallers met netwerktoegang via TLS de Net Service-component overnemen of een denial-of-service veroorzaken, wat impact heeft op vertrouwelijkheid, integriteit en beschikbaarheid. Verder is er een kwetsbaarheid in Eclipse Jetty's HTTP/1.1 parser die request smuggling mogelijk maakt door onjuiste verwerking van chunked transfer encoding extensions, wat kan leiden tot beveiligingsomzeilingen zoals cache poisoning en sessiekaping. Voor deze Jetty-kwetsbaarheid zijn momenteel geen patches of mitigaties beschikbaar.
Kwetsbaarheden verholpen in GitLab Community Edition en Enterprise Edition
GitLab heeft meerdere kwetsbaarheden verholpen in GitLab Community Edition en Enterprise Edition, specifiek in versies 12.7 tot voor 18.10.7, 18.11 tot voor 18.11.4, en 19.0 tot voor 19.0.1. De kwetsbaarheden betreffen verschillende aspecten van authenticatie, autorisatie en validatie binnen GitLab. Een denial of service kan worden veroorzaakt door onvoldoende validatie, waarbij een geauthenticeerde gebruiker de beschikbaarheid van de dienst kan verstoren. Daarnaast kunnen gebruikers met developer-permissies ongeautoriseerd toegang krijgen tot gevoelige deploymentdata door onjuiste autorisatiecontroles. Verder is er een probleem met onjuiste gebruikersidentiteitsresolutie, waardoor een geauthenticeerde gebruiker Duo AI-workflows kan activeren alsof hij een andere gebruiker is, wat leidt tot identiteitsvervalsing binnen deze workflows. Ook kunnen developer-rollen flowbeperkingen omzeilen die op groepsniveau zijn ingesteld, wat de toegangscontrole en workflow governance beïnvloedt. Een andere kwetsbaarheid maakt het mogelijk voor onbevoegde gebruikers om private projecten te enumereren, wat kan leiden tot blootstelling van gevoelige projectinformatie. Ten slotte kunnen geauthenticeerde gebruikers toegang krijgen tot continuous integration (CI) data die niet voor hen bedoeld is, door een fout in de toegangscontrole voor CI-data. De kwetsbaarheid met kenmerk CVE-2026-2710 wordt wel genoemd in de releasenotes van GitLab, maar is ingetrokken en heeft geen verdere impact.
Kwetsbaarheid verholpen in Cisco Secure Workload
Cisco heeft een kwetsbaarheid verholpen in Cisco Secure Workload. De kwetsbaarheid bevindt zich in de interne REST API's van Cisco Secure Workload. Ongeauthenticeerde kwaadwillenden met toegang tot de interne infrastructuur kunnen door onvoldoende validatie en authenticatie binnen deze API's Site Admin-rechten verkrijgen. Hierdoor kunnen zij zonder juiste autorisatie toegang krijgen tot sitebronnen. Misbruik van deze kwetsbaarheid kan leiden tot ongeautoriseerde openbaarmaking van gevoelige informatie en ongeautoriseerde wijzigingen in configuratie-instellingen.
Kwetsbaarheid verholpen in Drupal core
Drupal heeft een kwetsbaarheid verholpen in Drupal core (versies vanaf 8.9.0 tot specifieke 10.x en 11.x releases). De kwetsbaarheid betreft een SQL-injectie in de database abstraction API van Drupal. Hierdoor kunnen ongeauthenticeerde kwaadwillenden op afstand willekeurige SQL-injectieaanvallen uitvoeren op sites die gebruikmaken van PostgreSQL-databases. Dit kan leiden tot ongeautoriseerde toegang of manipulatie van data. Daarnaast bevat de update ook beveiligingsfixes voor Symfony- en Twig-dependencies die binnen Drupal zijn geïntegreerd.
