Andrej Simko

**Nome do software vulnerável e versões afetadas** PaperCut NG/MF (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) refletido, permitindo que cargas de JavaScript especialmente criadas sejam executadas no navegador. Isso ocorre quando um usuário clica em um link malicioso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.2.3 a 12.2.11 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Instance Main da Oracle Installed Base, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa a Oracle Installed Base. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do Oracle Installed Base. **Recomendações** Para as versões 12.2.3 a 12.2.11, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: A vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Applications Manager, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a alguns dados do Oracle Applications Manager, incluindo acesso para atualização, inserção ou exclusão, bem como acesso de leitura não autorizado. Além disso, os ataques podem causar uma negação parcial de serviço do Oracle Applications Manager. Recomendações: Para as versões 12.1.3 e 12.2.3 a 12.2.10, atualize para uma versão que inclua uma correção para esta vulnerabilidade, a fim de impedir o acesso não autorizado e uma possível negação de serviço.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Applications Manager, que é um componente do Oracle E-Business Suite. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. Embora a vulnerabilidade esteja no Oracle Applications Manager, os ataques podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Applications Manager. Recomendações: Para as versões 12.1.3 e 12.2.3 a 12.2.10, atualize para uma versão que contenha uma correção para este problema, a fim de impedir o acesso não autorizado aos dados do Oracle Applications Manager. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Applications Manager, especificamente o componente View Reports. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Applications Manager, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Applications Manager. O impacto de tais ataques pode afetar significativamente outros produtos. Recomendações: Para as versões 12.1.3, atualize para uma versão que inclua a correção para este problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente View Reports no Oracle Applications Manager até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Descrição: O problema está relacionado a um controle de acesso inadequado no componente Bill Issues do produto Oracle Bills of Material. Isso permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizada de dados críticos, bem como no acesso não autorizado a informações confidenciais. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado e a modificação de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado a um controle de acesso inadequado no componente Oracle Knowledge Management do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para modificar, adicionar ou excluir dados e obter acesso não autorizado a informações protegidas. Ataques bem-sucedidos podem impactar significativamente outros produtos e resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis pelo Oracle Knowledge Management. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Knowledge Management até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado a um controle de acesso inadequado no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. Recomendações: Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de compras até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a erros no código dos subcomponentes de pesquisa de Modelos e GTIN do componente Oracle Product Hub. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Product Hub. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis no Oracle Product Hub, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis no Oracle Product Hub. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso aos subcomponentes de pesquisa de modelos e GTIN do componente Oracle Product Hub até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** A vulnerabilidade afeta o produto Oracle Engineering, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Engineering. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou a todos os dados acessíveis, incluindo a criação, exclusão ou modificação de dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para resolver o problema.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: A vulnerabilidade está relacionada a um controle de acesso insuficiente no componente Attribute Admin Setup do produto Oracle Partner Management. Isso pode ser explorado por um invasor remoto para modificar, adicionar ou excluir dados e obter acesso não autorizado a informações confidenciais. O ataque requer alguma interação de uma pessoa que não seja o invasor e pode impactar significativamente outros produtos, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis no Oracle Partner Management. Recomendações: Para as versões 12.1.3 e 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao componente Attribute Admin Setup até que um patch esteja disponível. Restrinja o acesso de rede via HTTP ao produto Oracle Partner Management para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle MySQL Server versões 8.0.23 e anteriores **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Server: DML do Oracle MySQL Server. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do MySQL Server. **Recomendações** Para as versões 8.0.23 e anteriores, atualize para uma versão posterior à 8.0.23 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle iStore, versões 12.1.1 a 12.1.3 Oracle iStore, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor remoto modifique, adicione ou exclua dados, ou obtenha controle total sobre o aplicativo via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3 do Oracle iStore, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10 do Oracle iStore, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de Compras até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite (componente: Carrinho de compras) versões 12.1.1 a 12.1.3 Oracle E-Business Suite (componente: Carrinho de compras) versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente Carrinho de compras do Oracle iStore, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de Compras até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente monitoramento adicional para detectar possíveis tentativas de exploração.

**Nome do software vulnerável e versões afetadas** Oracle MySQL Server versões 8.0.23 e anteriores **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Server: Optimizer do Oracle MySQL Server. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas com frequência (DOS completo) do MySQL Server. **Recomendações** Para as versões 8.0.23 e anteriores do Oracle MySQL Server, atualize para uma versão posterior à 8.0.23 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração. Além disso, certifique-se de que todas as entradas no componente Server: Optimizer sejam cuidadosamente validadas para prevenir possíveis ataques.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle iStore. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de Compras até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle iStore, versões 12.1.1 a 12.1.3 Oracle iStore, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor remoto modifique, adicione ou exclua dados, ou obtenha controle total sobre o aplicativo via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de compras para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de compras até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle iStore, versões 12.1.1 a 12.1.3 Oracle iStore, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Carrinho de Compras do Oracle iStore, permitindo que um invasor remoto modifique, adicione ou exclua dados, ou obtenha controle total sobre o aplicativo por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3 do Oracle iStore, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 12.2.3 a 12.2.10 do Oracle iStore, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Carrinho de compras para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versão 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente da página inicial do Oracle Applications Framework. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Applications Framework, resultando em criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. **Recomendações** Para a versão 12.2.10, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.