XSS-Angriff gegen Oracle eBusiness Suite entdeckt

Laut einer Meldung auf der IT-Security-Mailingliste „Full Disclosure“ existiert eine Sicherheitslücke in der eBusiness Suite von Oracle, die Cross-Site-Scripting-Attacken erlaubt. Betroffen sind Version 10 und 11 der Anwendung. Nach ersten Informationen steht bereits ein Patch für Oracle Kunden zum Download zu Verfügung. Dieser Patch wurde bislang jedoch nicht verifiziert.

Die Sicherheitslücke wird durch den Gast-Zugriff auf die Weboberfläche der eBusiness Suite ermöglicht. Laut Oracle ist dieser Gast-Zugriff ein geplantes Feature und kein Bug. In insgesamt drei Schritten kann ein Angreifer die Konfigurationseinstellungen des Gast-Zugriffs so manipulieren, dass sich beliebiger Scriptcode in ein betroffenes eBusiness Suite System einspeisen lässt. Durch den Angriff lässt sich beispielsweise die Session ID eines eBusiness Suite Benutzers entwenden und für unbefugte Zugriffe einsetzen. Ein entsprechender Proof-of-Concept findet sich in der Meldung auf Full Disclosure. (vgw)