sdx15 – shutterstock.com
Forscher von Tenable Analysis haben eine Sicherheitslücke im Code-Editor von Oracle Cloud Infrastructure (OCI) entdeckt, die Unternehmen für Distant-Code-Execution-Angriffe (RCE) anfällig macht. Die webbasierte integrierte Entwicklungsumgebung (IDI) dient zur Verwaltung von Ressourcen wie Capabilities, Useful resource Supervisor und Data Science und sorgt für nahtlose Entwickler-Workflows.
Die enge Integration mit Cloud Shell, der Browser-basierten Befehlszeilenumgebung von Oracle, die Sitzungskontext, Dateisysteme und Laufzeitumgebung gemeinsam nutzt, führte allerdings zu einem Sicherheitsproblem, warnen die Safety-Experten.
CSRF-Fehler führt zu RCE
Die Tenable-Forscher fanden heraus, dass der direkte Add-Mechanismus von Cloud Shell zwar den Regeln entspricht, der Code Editor jedoch unbemerkt einen Endpunkt für Datei-Uploads offenlegt, der keinen Schutz vor Cross-Web site-Request-Forgery (CSRF) bietet.
