Identity Manager
Уязвимости
23
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.8883
Распределение по критичности
Критический
8
Высокий
7
Средний
7
Низкий
1
Также сопоставлено как (исходные строки): identity_manager,web_services_manager,identity manager,weblogic_server,communications_network_integrity,hyperion_infrastructure_technology,peoplesoft_enterprise_peopletools,tape_library_acsls,communications_diameter_signaling_router,rapid_planning,storagetek_tape_analytics_sw_tool,banking_platform
Топ уязвимостей
CVE-2017-10151Уязвимость в компоненте Oracle Identity Manager продукта Oracle Fusion Middleware (подкомпонент: Default Account). Поддерживаемые версии, подверженные уязвимости: 11.1.1.7, 11.1.2.3 и 12.2.1.3. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через HTTP скомпрометировать Oracle Identity Manager. Хотя уязвимость находится в Oracle Identity Manager, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Oracle Identity Manager. Базовая оценка CVSS 3.0 — 10.0 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
CVE-2017-3553Уязвимость в компоненте Oracle Identity Manager Oracle Fusion Middleware (подкомпонент: Rules Engine). Поддерживаемая версия, подверженная уязвимости: 11.1.2.3.0. Легко «эксплуатируемая» уязвимость позволяет злоумышленнику с низкими привилегиями и сетевым доступом через HTTP скомпрометировать Oracle Identity Manager. Хотя уязвимость находится в Oracle Identity Manager, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Oracle Identity Manager. CVSS 3.0 Базовая оценка 9.9 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
CVE-2026-21992Уязвимость в продукте Oracle Identity Manager Oracle Middleware (компонент: REST WebServices) и Oracle Web Services Manager продукта Oracle Fusion Middleware (компонент: безопасность веб-сервисов). Поддерживаемые версии, которые затронуты, являются 12.2.1.4.0 и 14.1.2.1.0. Легко эксплуатируемая уязвимость позволяет неаутентифицируемому злоумышленнику с сетевым доступом через HTTP скомпрометировать Oracle Identity Manager и Oracle Web Services Manager. Успешные атаки этой уязвимости могут привести к поглощению Oracle Identity Manager и Oracle Web Services Manager. Примечание: Oracle Web Services Manager установлен с инфраструктурой Oracle Fusion Middleware. CVSS 3.1 Базовый балл 9.8 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3:31:N/AC:L/N/UI:N/S:U/C:H/I:H/H/H/A:H/A:H)
CVE-2025-61757Уязвимость в Oracle Identity Manager (компонент REST WebServices) версий 12.2.1.4.0 и 14.1.2.1.0. Неаутентифицированный атакующий через HTTP может полностью захватить систему (полный контроль). Оценка CVSS 3.1: 9.8 (Critical). Подробнее см. источник [1].\nИсточники:\n- [1] https://www.oracle.com/security-alerts/cpuoct2025.html
CVE-2019-2729Уязвимость в компоненте Oracle WebLogic Server продукта Oracle Fusion Middleware (подкомпонент: Web Services). Поддерживаемые версии, подверженные уязвимости, — 10.3.6.0.0, 12.1.3.0.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через HTTP скомпрометировать Oracle WebLogic Server. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle WebLogic Server. Базовая оценка CVSS 3.0 — 9.8 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
BDU:2026-03475Уязвимость компонента REST WebServices диспетчера идентификации Oracle Identity Manager программной платформы Oracle Fusion Middleware и компонента Web Services Security приложения Oracle Web Services Manager связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе путем отправки специально сформированного HTTP-запроса
BDU:2025-14708Уязвимость компонента REST WebServices диспетчера идентификации Oracle Identity Manager программной платформы Oracle Fusion Middleware связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью HTTP протокола
BDU:2017-02651Уязвимость библиотеки Apache Commons Collections (ACC) связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды при помощи специально сформированного сериализованного Java-объекта
CVE-2017-15095Недостаток десериализации был обнаружен в jackson-databind в версиях до 2.8.10 и 2.9.1, что могло позволить неаутентифицированному пользователю выполнить код, отправив вредоносный ввод в метод readValue ObjectMapper. Эта проблема расширяет предыдущий недостаток CVE-2017-7525 путем добавления в черный список большего количества классов, которые можно использовать злонамеренно.
CVE-2021-2458Уязвимость в продукте Identity Manager от Oracle Fusion Middleware (компонент: Identity Console). Поддерживаемые версии, подверженные уязвимости: 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями и доступом к сети через HTTP скомпрометировать Identity Manager. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Identity Manager, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем данным, доступным для Identity Manager, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным для Identity Manager. CVSS 3.1 Base Score 7.6 (последствия для конфиденциальности и целостности). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N).
BDU:2022-03444Уязвимость компонента Identity Console диспетчера идентификации Oracle Identity Manager программной платформы Oracle Fusion Middleware существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать, удалить или изменить доступ к критически важным данным с помощью сетевого протокола HTTP
CVE-2020-2728Уязвимость в продукте Identity Manager компании Oracle Fusion Middleware (компонент: OIM - LDAP user and role Synch). Поддерживаемая версия, подверженная уязвимости: 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Identity Manager. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к важным данным или полному доступу ко всем данным, доступным Identity Manager. CVSS 3.0 Базовая оценка 7.5 (воздействие на конфиденциальность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
BDU:2020-00206Уязвимость компонента OIM - LDAP user and role Synch диспетчера идентификации Oracle Identity Manager связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью HTTP протокола
CVE-2018-3179Уязвимость в компоненте Oracle Identity Manager Oracle Fusion Middleware (подкомпонент: Advanced Console). Поддерживаемые версии, подверженные уязвимости: 11.1.2.3.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через HTTP скомпрометировать Oracle Identity Manager. Хотя уязвимость находится в Oracle Identity Manager, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному чтению подмножества доступных данных Oracle Identity Manager и несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Oracle Identity Manager. CVSS 3.0 Base Score 7.2 (Воздействие на конфиденциальность и доступность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L).
BDU:2019-00353Уязвимость компонента Advanced Console диспетчера идентификации Oracle Identity Manager связана с недостаточным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемым данным или вызвать отказ в обслуживании с использованием протокола HTTP
CVE-2026-34283Уязвимость в продукте Oracle Identity Manager компании Oracle Fusion Middleware (компонент: Identity Console). Поддерживаемые версии, которые затронуты, являются 12.2.1.4.0 и 14.1.2.0.0. Легко эксплуатируемая уязвимость позволяет неаутентифицируемому злоумышленнику с сетевым доступом через HTTP, чтобы скомпрометировать Oracle Identity Manager. Успешные атаки требуют человеческого взаимодействия от человека, отличного от злоумышленника, и пока уязвимость находится в Oracle Identity Manager, атаки могут значительно повлиять на дополнительные продукты (изменение объема). Успешные атаки этой уязвимости могут привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Identity Manager, а также к несанкционированному доступу к подмножеству доступных данных Oracle Identity Manager. CVSS 3.1 Базовый балл 6.1 (Влияние конфиденциальности и целостности). Вектор CVSS: (CVSS:3:31:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/N/N/N/N/S:C/C:L/I:L/A:N).
CVE-2014-2880Уязвимость открытого перенаправления в компоненте Oracle Identity Manager в Oracle Fusion Middleware 11.1.1.5, 11.1.1.7, 11.1.2.1 и 11.1.2.2 позволяет удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и проводить фишинговые атаки через URL-адрес в параметре backUrl в действии changepwd в identity/faces/firstlogin.
CVE-2019-11358jQuery до версии 3.4.0, используемый в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...), поскольку Object.prototype загрязнен. Если несанированный исходный объект содержал перечисляемое свойство __proto__, он мог расширить собственный Object.prototype.
CVE-2020-2729Уязвимость в продукте Identity Manager компании Oracle Fusion Middleware (компонент: Advanced Console). Поддерживаемые версии, подверженные уязвимости: 11.1.2.3.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через HTTP, скомпрометировать Identity Manager. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным Identity Manager, а также к несанкционированному доступу на чтение к подмножеству данных, доступных Identity Manager. CVSS 3.0 Базовая оценка 5.4 (воздействие на конфиденциальность и целостность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).
BDU:2020-00207Уязвимость компонента Advanced Console диспетчера идентификации Oracle Identity Manager связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность данных или раскрыть защищаемую информацию с помощью HTTP протокола
CVE-2021-2457Уязвимость в продукте Identity Manager от Oracle Fusion Middleware (компонент: Request Management & Workflow). Поддерживаемая версия, подверженная уязвимости: 11.1.2.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через HTTP скомпрометировать Identity Manager. Успешные атаки этой уязвимости могут привести к несанкционированному доступу на чтение к подмножеству данных, доступных для Identity Manager. CVSS 3.1 Base Score 5.3 (последствия для конфиденциальности). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
CVE-2019-2858Уязвимость в компоненте Oracle Identity Manager продукта Oracle Fusion Middleware (подкомпонент: Advanced Console). Поддерживаемые версии, подверженные уязвимости: 11.1.2.3.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Identity Manager. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Identity Manager. Базовая оценка CVSS 3.0 — 4,3 (воздействие на целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N).
CVE-2016-5506Неуказанная уязвимость в компоненте Oracle Identity Manager в Oracle Fusion Middleware позволяет локальным пользователям влиять на конфиденциальность и целостность через векторы, связанные с App Server.