Deux chercheurs en sécurité ‘PeterJson’ de VNG et ‘Nguyen Jang’ de VNPT ont découvert une vulnérabilité critique qui affecte Fusion Middleware d’Oracle, elle pourrait permettre à un acteur de la menace d’exécuter de code arbitraire sur le système affecté.

Suivie sous le nom de CVE-2022-21445, cette faille est décrite comme étant une désérialisation de données non fiable qui pourrait être exploitée à distance et sans authentification, le problème est identifié dans le composant ADF.

Oracle a publié un correctif dans le cadre de son Critical Patch Update d'avril 2022, six mois après la signalisation du bogue.

Selon les deux chercheurs en sécurité, ce problème de RCE a un impact sur toutes les applications qui reposent sur ADF Faces, notamment Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite et Transportation Management.

Une deuxième vulnérabilité (CVE-2022-21497) a été corrigée par Oracle, un problème de falsification de requête côté serveur (SSRF) pouvant être enchaînée avec première faille afin d'obtenir une exécution de code à distance par pré-authentification dans Oracle Access Manager, un composant utilisé pour le SSO dans de nombreux services en ligne Oracle.

Il est recommandé aux utilisateurs qui se servent du composant ADF Faces de mettre à jour leurs systèmes afin d’atténuer toute menace possible .