Une vulnérabilité critique identifiée dans Oracle Identity Manager de Oracle Fusion Middleware

Une vulnérabilité critique dans le composant « Oracle Identity Manager » d’Oracle Fusion Middleware a été identifiée et corrigée dans le dernier patch de sécurité publié par Oracle.

Cette vulnérabilité porte sur des comptes par défaut présents dans la solution. Elle est facile à exploiter et permet à un attaquant non authentifié, disposant d’un accès réseau, de compromettre le produit « Oracle Identity Manager » en se connectant à l’aide d’un des comptes définis par défaut.

Compte tenu de la criticité de la vulnérabilité, il est fortement recommandé d’appliquer le patch de sécurité associé.

Informations
+

Impact

  • Prise de contrôle à distance du produit

Criticité

  • CVSS v3 : 10

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Oracle Identity Manager, versions 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 et 12.2.1.3.0

CVE

  • CVE-2017-10151

Recommandations
+

Correctifs

L’éditeur a publié un correctif corrigeant la vulnérabilité. Ce dernier est disponible à l’adresse : https://support.oracle.com/rs?type=doc&id=209768.1

Solution de contournement

Il n’existe pas actuellement de solution de contournement.