Bui Duong

**Nome do software vulnerável e versões afetadas: Oracle BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 Descrição: O problema está relacionado a um controle de acesso inadequado no produto Oracle BI Publisher, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, incluindo acesso para ler, modificar, inserir ou excluir alguns dados, bem como negação parcial de serviço. Recomendações: Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 Descrição: O problema está relacionado a um controle de acesso inadequado no produto Oracle BI Publisher, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle BI Publisher e acesso não autorizado para atualizar, inserir ou excluir alguns dados. Além disso, pode causar uma negação parcial de serviço do Oracle BI Publisher. Recomendações: Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 Descrição: O problema está relacionado a um controle de acesso insuficiente no componente de administração do Oracle BI Publisher, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. Isso pode resultar na leitura, modificação, adição ou exclusão de dados, bem como causar uma negação de serviço via protocolo HTTP. Recomendações: Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Administração até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso de rede via HTTP ao Oracle BI Publisher para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 Descrição: O problema está relacionado a um controle de acesso insuficiente no componente de segurança do Oracle BI Publisher, permitindo que um invasor remoto modifique, adicione ou exclua dados, ou cause uma negação de serviço usando o protocolo HTTP. Isso pode resultar em acesso não autorizado a dados críticos, acesso para atualizar, inserir ou excluir alguns dados e uma negação parcial de serviço. Recomendações: Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente de segurança do BI Publisher até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso de rede via HTTP ao Oracle BI Publisher para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Fusion Middleware BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente E-Business Suite - XDO do Oracle BI Publisher. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o BI Publisher, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso total a todos os dados acessíveis pelo BI Publisher. Ataques bem-sucedidos também podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo BI Publisher. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente BI Publisher até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o BI Publisher a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Fusion Middleware BI Publisher versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente E-Business Suite - XDO do Oracle BI Publisher. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o BI Publisher, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso total a todos os dados acessíveis pelo BI Publisher. Ataques bem-sucedidos também podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo BI Publisher. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebCenter Portal, versões 12.2.1.3.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Composer do Oracle WebCenter Portal, permitindo que um invasor remoto modifique, adicione ou exclua dados, ou cause uma negação de serviço usando o protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados, bem como acesso de leitura a um subconjunto de dados e a capacidade de causar uma negação de serviço parcial. **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado ao componente Core do Oracle WebLogic Server e é causado por um controle de acesso inadequado. Ele permite que um invasor não autenticado com acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade é facilmente explorável e já foi explorada na prática. Estima-se que mais de 300 servidores vulneráveis possam ser explorados, levando a graves ameaças à segurança. **Recomendações** Para as versões 10.3.6.0.0 a 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema, conforme fornecido na Atualização de Patches Críticos de abril de 2020 da Oracle. Como solução alternativa temporária, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração. Além disso, desativar a desserialização de dados não confiáveis no protocolo T3 pode ajudar a mitigar o problema até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.