漏洞信息(CVE-2022-21500)

一、漏洞 CVE-2022-21500 基础信息

漏洞信息

# N/A

## 概述
此漏洞存在于Oracle E-Business Suite组件Manage Proxies中，影响受支持的12.2版本。未经身份验证的攻击者可通过HTTP网络访问来利用此漏洞。成功的攻击可能导致未经授权的数据访问，甚至获取到所有Oracle E-Business Suite可访问数据的完整访问权限。尽管需要用户认证，但用户可能为自注册。

## 影响版本
- Oracle E-Business Suite 12.2

## 细节
- 漏洞可通过HTTP网络访问被未认证的攻击者利用。
- 有效利用此漏洞可能导致对关键数据的未经授权访问或对Oracle E-Business Suite所有可访问数据的完全访问。
- 虽然需要身份验证，但用户可自注册。 

## 影响
- CVSS 3.1基础得分：7.5
- CVSS向量：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- 影响信息保密性，不涉及完整性和可用性的影响。

备注

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Vulnerability in Oracle E-Business Suite (component: Manage Proxies). The supported version that is affected is 12.2. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle E-Business Suite. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle E-Business Suite accessible data. Note: Authentication is required for successful attack, however the user may be self-registered. <br> <br>Oracle E-Business Suite 12.1 is not impacted by this vulnerability. Customers should refer to the Patch Availability Document for details. CVSS 3.1 Base Score 7.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Oracle E-Business Suite 信息泄露漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。 Oracle E-Business Suite 的 Manage Proxies组件 12.1版本和12.2版本存在信息泄露漏洞。攻击者利用该漏洞通过 HTTP 进行网络访问，从而访问到机密数据。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信息泄露

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-21500 的公开POC

#	POC 描述	源链接	神龙链接
1	Oracle E-Business Suite <=12.2 - Authentication Bypass	https://github.com/Cappricio-Securities/CVE-2022-21500	POC详情
2	Oracle E-Business Suite (component: Manage Proxies) 12.1 and 12.2 are susceptible to an easily exploitable vulnerability that allows an unauthenticated attacker with network access via HTTP to compromise it by self-registering for an account. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle E-Business Suite accessible data.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-21500.yaml	POC详情

三、漏洞 CVE-2022-21500 的情报信息

https://www.oracle.com/security-alerts/alert-cve-2022-21500.html x_refsource_MISC
https://www.oracle.com/security-alerts/cpujul2022.html x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-21500

一、 漏洞 CVE-2022-21500 基础信息

漏洞信息

备注

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-21500 的公开POC

三、漏洞 CVE-2022-21500 的情报信息

一、漏洞 CVE-2022-21500 基础信息