Oracle Access Manager远程漏洞（CNVD-2018-09095）

CVE编号

CVE-2018-2879

利用情况

暂无

补丁情况

N/A

披露时间

2018-04-19

漏洞描述

Oracle Access Manager是适用于集中身份管理和访问控制的最新解决方案。 Oracle Access Manager组件存在远程安全漏洞，未经身份验证的远程攻击者可利用此漏洞影响完整性、机密性、可用性。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

参考链接
http://packetstormsecurity.com/files/152551/OAMbuster-Multi-Threaded-CVE-2018...
http://seclists.org/fulldisclosure/2019/Apr/28
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://www.securityfocus.com/bid/103788
http://www.securitytracker.com/id/1040695
https://github.com/MostafaSoliman/Oracle-OAM-Padding-Oracle-CVE-2018-2879-Exploit
https://seclists.org/bugtraq/2019/Apr/27
https://www.sec-consult.com/en/blog/2018/05/oracle-access-managers-identity-crisis/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	oracle	access_manager	11.1.2.3.0	-
	运行在以下环境
	应用	oracle	access_manager	12.2.1.3.0	-

CVSS3评分 9.0

• 攻击路径 网络
• 攻击复杂度 高
• 权限要求 无
• 影响范围 已更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

• https://github.com/AymanElSherif/oracle-oam-authentication-bypas-exploit
• https://github.com/MostafaSoliman/Oracle-OAM-Padding-Oracle-CVE-2018-2879-Exploit
• https://github.com/redtimmy/OAMBuster

- avd.aliyun.com