Russian

Техническая поддержка

Личный кабинет партнера

Построение центра ГосСОПКА

Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

PT Unified Application Security

Комплекс продуктов и сервисов для безопасности приложений, позволяющий выявлять уязвимости и обеспечивать всестороннюю защиту от веб-атак.

Комплекс для раннего выявления сложных угроз

Комплексное решение для раннего выявления и предотвращения целевых атак.

Безопасность объектов КИИ

Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

MaxPatrol 8

Контроль защищенности и соответствия стандартам

MaxPatrol SIEM

Выявление инцидентов ИБ в реальном времени

PT ISIM

Управление инцидентами кибербезопасности АСУ ТП

PT ISIM freeView Sensor

Бесплатная система мониторинга ИБ АСУ ТП

PT MultiScanner

Многоуровневая защита от вредоносного ПО

XSpider

Сканер уязвимостей

PT Application Firewall

Защита приложений от веб-атак

PT Application Inspector

Анализатор защищенности приложений

PT Platform 187

Реализация основных требований 187-ФЗ для небольших инфраструктур

ПТ Ведомственный центр

Управление инцидентами и взаимодействие с ГосСОПКА

PT Network Attack Discovery

Система анализа трафика (NTA) для выявления атак

PT Cybersecurity Intelligence

Платформа для управления знаниями об угрозах

Непрерывный анализ защищенности бизнеса

Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

Услуги PT Expert Security Center

Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

Исследование угроз и уязвимостей аппаратных решений

Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

Главная
Исследования
Уязвимости и угрозы
PT-2013-08: Удаленное выполнение команд на целевой ОС в Oracle Siebel CRM

PT-2013-08: Удаленное выполнение команд на целевой ОС в Oracle Siebel CRM

Уязвимое ПО

Oracle Siebel CRM
Версия: 8.1.1, 8.2.2

Ссылка:
http://www.oracle.com/us/products/applications/siebel/overview/index.html

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Удаленное выполнение команд
Вектор атаки: Удаленный

CVSS v2:
Base Score: 5.8
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:N)

CVE: CVE-2013-5761

Описание программы

Oracle Siebel CRM - система управления взаимоотношениями с клиентами, позволяющая построить комплексную корпоративную информационную систему.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Удаленное выполнение команд" в Oracle Siebel CRM.

Используя встроенные средства eScript, злоумышленник может удаленно выполнить произвольные команды на целевой ОС с привилегиями текущего пользователя, а также получить доступ к файловой системе.

Решение

Установите последнюю версию приложения

Статус уведомления

05.02.2013 - Производителю отправлены детали уязвимости
15.10.2013 - Производитель выпустил исправление
25.10.2013 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Никита Михалевский (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2013-08
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости

17 декабря 2019 PT-2019-05: Локальное повышение привилегий Высокий – (7.0)
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
26 декабря 2018 PT-2018-47: Внедрение SQL-кода в EVLink Parking Средний – (6.4)
(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N)
26 декабря 2018 PT-2018-46: Внедрение кода в EVLink Parking Высокий – (8.8)
(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)