Une vulnérabilité critique de path traversal a été identifiée dans les terminaux MICROS d’Oracle

La vulnérabilité référencée CVE-2018-2636 affecte des terminaux de paiement MICROS POS (Point of Sale). Elle permettrait à un attaquant de lire des données sensibles à partir des périphériques.

En raison de la large utilisation des terminaux MICROS POS, l'impact évalué est critique. À l'heure actuelle, Oracle MICROS compte plus de 330 000 caisses enregistreuses dans le monde entier. Les terminaux peuvent être trouvés dans plus de 200 000 points de vente d'aliments et de boissons et plus de 30 000 hôtels dans 180 pays..

La vulnérabilité, un path traversal, a été découverte en septembre 2017. Elle permettrait de lire n'importe quel fichier, y compris des fichiers de configuration. Elle s’appuie sur l'envoi d’un paquet à un service WEB particulier d'un terminal.

La vulnérabilité a été corrigée dans les mises à jour critiques d’Oracle de janvier 2018.

Informations
+

Impact

  • Vol d’information

Criticité

  • CVSS v3 : 8.1

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Oracle MICROS EGateway Application Service

CVE

  • CVE-2018-2636

Recommandations
+

Correctifs

  • La vulnérabilité a été corrigée dans la mise à jour critique d’Oracle du mois de janvier.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.