Vulnerabilidad de inyección SQL en Oracle E-Business Suite

Se han detectado diversos errores en procesos de validación de entrada de Oracle E-Business Suite que permitirían a usuarios maliciosos realizar ataques.

Oracle E-Business Suite es (citando la web corporativa) “un conjunto completo de aplicaciones comerciales para la administración y automatización de procesos en su organización.”

Un usuario remoto malicioso puede enviar al sistema objetivo una URL especialmente construida a tal efecto que provocaría la ejecución de comandos SQL, lo que puede llevar de forma directa a comprometer gravemente la base de datos y las aplicaciones asociadas a ella.

Se ha confirmado que los productos afectados son Oracle E-Business Suite 11i y Oracle Application 11.0.

Oracle ha publicado una corrección, que está disponible en los Metalink Note ID 274356.1 (alerta de seguridad) e ID 274375.1 (matriz de disponibilidad de parches):

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274356.1

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274375.1