Une vulnérabilité critique dans le composant « Oracle Identity Manager » d’Oracle Fusion Middleware a été identifiée et corrigée dans le dernier patch de sécurité publié par Oracle.
Cette vulnérabilité porte sur des comptes par défaut présents dans la solution. Elle est facile à exploiter et permet à un attaquant non authentifié, disposant d’un accès réseau, de compromettre le produit « Oracle Identity Manager » en se connectant à l’aide d’un des comptes définis par défaut.
Compte tenu de la criticité de la vulnérabilité, il est fortement recommandé d’appliquer le patch de sécurité associé.
Impact
- Prise de contrôle à distance du produit
Criticité
- CVSS v3 : 10
Existence d’un code d’exploitation de la vulnérabilité
Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Oracle Identity Manager, versions 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 et 12.2.1.3.0
CVE
- CVE-2017-10151
Correctifs
L’éditeur a publié un correctif corrigeant la vulnérabilité. Ce dernier est disponible à l’adresse : https://support.oracle.com/rs?type=doc&id=209768.1
Solution de contournement
Il n’existe pas actuellement de solution de contournement.