Abdulrahman Nour

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Preferências do Oracle CRM Technical Foundation. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados. O número estimado de dispositivos potencialmente afetados não foi fornecido. Recomendações: Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao componente Preferências até que um patch esteja disponível. Além disso, restrinja o acesso HTTP ao Oracle CRM Technical Foundation para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Software Cisco Adaptive Security Appliance (ASA) e Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas) **Descrição** Existe uma falha na interface de serviços web dos softwares Cisco ASA e FTD devido à validação insuficiente de entradas. Isso permite que um invasor remoto não autenticado execute ataques de traversal de diretório e leia arquivos confidenciais em um sistema alvo. O problema decorre da validação inadequada de URLs em solicitações HTTP. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa contendo sequências de traversal de diretório. A exploração bem-sucedida permite a visualização de arquivos arbitrários no sistema de arquivos dos serviços web, que é habilitado quando os recursos WebVPN ou AnyConnect estão configurados. Este problema não pode ser usado para acessar arquivos do sistema ASA ou FTD nem os arquivos do sistema operacional subjacente. Relatórios indicam exploração generalizada deste problema, com invasores visando iscas e honeypots do Cisco IOS. Várias ferramentas e scripts foram desenvolvidos para escanear e explorar esta vulnerabilidade. A vulnerabilidade tem sido ativamente explorada e é considerada altamente perigosa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.2.5 a 12.2.9 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente “Anexos/Upload de arquivos” do Oracle Applications Framework, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa a estrutura. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis da estrutura. **Recomendações** Para as versões 12.2.5 a 12.2.9, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado e a modificação de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Configurator versões 12.1 e 12.2 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente de instalação do aplicativo Oracle Configurator. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Uma exploração bem-sucedida pode resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle Configurator. **Recomendações** Para o Oracle Configurator versão 12.1, atualize para uma versão que inclua os patches de segurança necessários para corrigir o problema de controle de acesso insuficiente. Para o Oracle Configurator versão 12.2, aplique as correções de segurança recomendadas para mitigar o risco de acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Versões 5.7.29 e anteriores do MySQL Server Versões 8.0.19 e anteriores do MySQL Server **Descrição** O problema está relacionado ao componente Optimizer do MySQL Server, que é afetado por uma falha no controle de acesso. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou uma falha repetitiva (DOS completo) do MySQL Server. A vulnerabilidade pode ser explorada remotamente usando o Protocolo MySQL. **Recomendações** Para as versões 5.7.29 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.29 para resolver o problema. Para as versões 8.0.19 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.19 para resolver o problema. Como solução temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração.