Oracle-Lücke birgt Gefahr für RCE-Attacken

Nur ein Klick zur Kompromittierung: Eine Schwachstelle im Oracle Cloud Code Editor ermöglicht RCE-Angriffe. sdx15 – shutterstock.com Forscher von Tenable Research haben eine Sicherheitslücke im Code-Editor von Oracle Cloud Infrastructure (OCI) entdeckt, die Unternehmen für Remote-Code-Execution-Angriffe (RCE) anfällig macht. Die webbasierte integrierte Entwicklungsumgebung (IDI) dient zur Verwaltung von Ressourcen wie Functions, Resource Manager und Data Science und sorgt für nahtlose Entwickler-Workflows. Die enge Integration mit Cloud Shell, der Browser-basierten Befehlszeilenumgebung von Oracle, die Sitzungskontext, Dateisysteme und Laufzeitumgebung gemeinsam nutzt, führte allerdings zu einem Sicherheitsproblem, warnen die Security-Experten. CSRF-Fehler führt zu RCE Die Tenable-Forscher fanden heraus, dass der direkte Upload-Mechanismus von Cloud Shell zwar den Regeln entspricht, der Code Editor jedoch unbemerkt einen Endpunkt für Datei-Uploads offenlegt, der keinen Schutz vor Cross...