一、漏洞概述

1、简介

      Oracle EBS[1]是电子商务套件的简称，Oracle EBS 全称是 Oracle 电子商务套件（E-Business Suit），是在原来 Application（ERP）基础上的扩展，包括 ERP（企业资源计划管理）、HR（人力资源管理）、CRM（客户关系管理）等等多种管理软件的集合，是无缝集成的一个管理套件。

     2018 年 4 月，名为John M 安全研究者发现Oracle EBS 中存在未授权 Blind SSRF 漏洞并向 Oracle 报告了此漏洞。

     2018 年 8 月，Oracle 在主代码行中确认问题并修复，该漏洞被赋予CVE-2018-3167 编号。

     2018 年 10 月， Oracle 发布了重要补丁更新[2]，包括修复此漏洞。

     2019 年 2 月，漏洞作者发布了漏洞详情[3]。

     2019 年 2 月 15 日，Seebug 平台收录了该漏洞[4]，知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。

2、影响版本

•  Oracle EBS：12.1.3，12.2.3，12.2.4，12.2.5，12.2.6，12.2.7

二、漏洞影响

     根据 ZoomEye 网络空间搜索引擎对 关键词"/OA_HTML/"服务的搜索结果[5]，共找到9,031 条历史记录。

三、防护方案

1、使用Oracle 官方提供的补丁更新[2]

2、技术业务咨询

知道创宇技术业务咨询热线 :

400-060-9587(政府，国有企业)、028-68360638(互联网企业)