Chauuhm

Nome do software vulnerável e versões afetadas: Oracle Business Intelligence Enterprise Edition versão 7.0.0.0.0 Descrição: O problema está relacionado à validação insuficiente de entradas no componente de segurança da plataforma BI. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para leitura de um subconjunto desses dados. Recomendações: Para a versão 7.0.0.0.0, considere restringir o acesso ao componente de segurança da plataforma de BI até que um patch esteja disponível. Como solução alternativa temporária, evite usar o componente vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition, versões 7.0.0.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Analytics Web Answers. Ele permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para leitura de um subconjunto desses dados. **Recomendações** Para as versões 7.0.0.0.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao componente Analytics Web Answers para minimizar o risco de exploração. Restrinja o acesso a dados confidenciais e implemente monitoramento adicional para detectar possíveis acessos não autorizados.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition, versões 6.4.0.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Pod Admin do Oracle Business Intelligence Enterprise Edition. Isso pode ser explorado por um invasor remoto para divulgar informações protegidas. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados que tenha acesso à rede via HTTP. **Recomendações** Para as versões 6.4.0.0.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso de leitura não autorizado aos dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition versions 6.4.0.0.0 through 7.0.0.0.0 **Description** The issue is related to insufficient input validation in the Pod Admin component. It allows a low-privileged attacker with network access via HTTP to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks require human interaction from a person other than the attacker and may significantly impact additional products. Attacks can result in unauthorized update, insert, or delete access to some of Oracle Business Intelligence Enterprise Edition's accessible data, as well as unauthorized read access to a subset of the data. **Recommendations** For versions 6.4.0.0.0 and 7.0.0.0.0, update to a version that includes the fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition version 6.4.0.0.0 **Description** The issue exists due to insufficient input validation in the Analytics Server component of Oracle Business Intelligence Enterprise Edition. This allows a remote attacker to gain unauthorized access to the device via HTTP requests. Successful attacks require human interaction from a person other than the attacker and can result in unauthorized access to critical data or complete access to all accessible data. **Recommendations** For version 6.4.0.0.0, consider restricting access to the Analytics Server component until a patch is available. As a temporary workaround, limit the use of HTTP requests to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition version 6.4.0.0.0 **Description** The issue is related to insufficient input validation in the Analytics Server component. It allows a low-privileged attacker with network access via HTTP to compromise Oracle Business Intelligence Enterprise Edition, requiring human interaction from a person other than the attacker. Successful attacks can result in unauthorized access to critical data or complete access to all Oracle Business Intelligence Enterprise Edition accessible data. **Recommendations** For version 6.4.0.0.0, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition versions 5.9.0.0.0 through 6.4.0.0.0 **Description** The issue is related to insufficient input validation in the Visual Analyzer component. It allows a low-privileged attacker with network access via HTTP to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks require human interaction from a person other than the attacker and may significantly impact additional products. Attacks can result in unauthorized update, insert, or delete access to some data, as well as unauthorized read access to a subset of data. **Recommendations** For versions 5.9.0.0.0 and 6.4.0.0.0, update to a version that includes the fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition versions 5.9.0.0.0 through 6.4.0.0.0 **Description** The issue is related to insufficient input validation in the Visual Analyzer component. It allows a low-privileged attacker with network access via HTTP to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks require human interaction from a person other than the attacker and may significantly impact additional products. Attacks can result in unauthorized update, insert, or delete access to some data, as well as unauthorized read access to a subset of data. **Recommendations** For versions 5.9.0.0.0 and 6.4.0.0.0, consider restricting access to the Visual Analyzer component until a patch is available. As a temporary workaround, limit the use of HTTP protocol for remote access to minimize the risk of exploitation. Avoid using the Visual Analyzer component for sensitive data processing until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Oracle Business Intelligence Enterprise Edition versions 5.9.0.0.0 through 6.4.0.0.0 **Description** The issue exists due to insufficient input validation in the Visual Analyzer component. This allows a remote attacker to gain read access to data or modify data via HTTP requests. Successful attacks require human interaction and may significantly impact additional products. Attacks can result in unauthorized update, insert, or delete access to some data, as well as unauthorized read access to a subset of data. **Recommendations** For versions 5.9.0.0.0 and 6.4.0.0.0, consider restricting access to the Visual Analyzer component until a patch is available. As a temporary workaround, limit the use of HTTP requests to minimize the risk of exploitation. Avoid using the Visual Analyzer component for sensitive data until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versão 5.9.0.0.0 **Descrição** O problema está relacionado a um estouro de leitura de buffer no componente Analytics Server do Oracle Business Intelligence Enterprise Edition, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados. **Recomendações** Para a versão 5.9.0.0.0, considere restringir o acesso ao componente Analytics Server até que um patch esteja disponível. Como solução alternativa temporária, limite as solicitações HTTP ao sistema afetado para minimizar o risco de exploração. Evite usar a versão afetada do Oracle Business Intelligence Enterprise Edition até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versão 5.9.0.0.0 **Descrição** O problema está relacionado a um estouro de buffer no componente Visual Analyzer do Oracle Business Intelligence Enterprise Edition, permitindo que um invasor remoto leia ou modifique dados por meio de solicitações HTTP. Ataques bem-sucedidos exigem interação humana e podem resultar em acesso não autorizado a alguns dados, incluindo capacidades de leitura e atualização. **Recomendações** Para a versão 5.9.0.0.0, considere restringir o acesso ao componente Visual Analyzer até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP para minimizar o risco de exploração. Evite usar o componente afetado para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition, versões 5.5.0.0.0 e 5.9.0.0.0 **Descrição** O problema está relacionado ao componente Visual Analyzer e permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para leitura de um subconjunto desses dados. A vulnerabilidade também está associada à leitura de dados além de um buffer especificado. **Recomendações** Para a versão 5.5.0.0.0, atualize para uma versão que corrija este problema. Para a versão 5.9.0.0.0, atualize para uma versão que corrija este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Visual Analyzer até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Oracle BI Publisher, versões 5.5.0.0.0 a 5.5.0.0.0 Oracle BI Publisher, versões 11.1.1.9.0 a 11.1.1.9.0 Oracle BI Publisher, versões 12.2.1.3.0 a 12.2.1.4.0 Descrição: O problema está relacionado a um controle de acesso inadequado no componente Web Server do Oracle BI Publisher, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados. Recomendações: Para o Oracle BI Publisher versão 5.5.0.0.0, atualize para uma versão mais recente para mitigar o risco. Para o Oracle BI Publisher versão 11.1.1.9.0, atualize para uma versão mais recente para mitigar o risco. Para as versões do Oracle BI Publisher 12.2.1.3.0 a 12.2.1.4.0, atualize para uma versão mais recente para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Web Server até que um patch esteja disponível.