Согласно январскому бюллетеню Oracle о критических обновлениях в его программных продуктах, обнаружены и исправлены две уязвимости в системе безопасности веб-сервера (Web Runtime SEC) Oracle JD Edwards EnterpriseOne.

• CVE-2018-2658
  Уязвимость в ядре JDE (веб-сервер (Web Runtime SEC)).
  Уязвимые версии: Enterprise Infrastructure SEC code 9.2 вплоть до 9.2.1.5.
  Легко реализуемая данная уязвимость позволяет злоумышленнику, имеющему доступ к веб-серверу по протоколу HTTP, взломать ядро JD Edwards EnterpriseOne. Для успешной атаки необходимо интерактивное взаимодействие с пользователем JDE. В результате, атакующий может получить неавторизованную возможность изменения, вставки, удаления или чтения данных, доступных ядру JDE.
  Устранение: установка обновления ядра системы версии 9.2.2.1 (вышло 10 октября 2017 года) или выше.

• CVE-2018-2659
  Уязвимость в ядре JDE (веб-сервер (Web Runtime SEC)).
  Уязвимые версии: Enterprise Infrastructure SEC code 9.2 вплоть до 9.2.1.5.
  Легко реализуемая данная уязвимость позволяет злоумышленнику, имеющему доступ к веб-серверу по протоколу HTTP, взломать ядро JD Edwards EnterpriseOne. Для успешной атаки необходимо интерактивное взаимодействие с пользователем JDE. В результате, атакующий может получить неавторизованную возможность изменения, вставки, удаления или чтения данных, доступных ядру JDE.
  Устранение: установка обновления ядра системы версии 9.2.2.1 (вышло 10 октября 2017 года) или выше.