Cl0Und

**Nome do software vulnerável e versões afetadas** Versões 12.2.1.3.0 a 12.2.1.4.0 do Oracle Coherence Versão 14.1.1.0.0 do Oracle Coherence **Descrição** O problema se deve à validação insuficiente de entradas no componente Core do Oracle Coherence, permitindo que um invasor não autenticado com acesso à rede via T3 comprometa o Oracle Coherence. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Coherence. Isso pode ser explorado por um invasor para executar código arbitrário. **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0 do Oracle Coherence, atualize para uma versão que inclua a correção para este problema. Para a versão 14.1.1.0.0 do Oracle Coherence, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso à rede via T3 para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.1.3.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via IIOP comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade pode ser explorada usando os protocolos de rede IIOP e T3. **Recomendações** Para as versões 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0 Oracle WebLogic Server, versão 14.1.1.0.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Coherence Container do Oracle WebLogic Server, permitindo que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade do servidor por meio dos protocolos T3 e IIOP. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.3.0 a 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle HTTP Server versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema é causado por validação insuficiente de entrada no componente Web Listener do Oracle HTTP Server. Isso permite que um invasor remoto obtenha acesso de leitura aos dados ou os modifique. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a alguns dos dados do servidor. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Redis anteriores à 6.0.3 **Descrição** O problema é causado por um estouro de inteiro na função `getnum`, o que permite que invasores com permissão para executar código Lua em uma sessão do Redis, dependendo do contexto, provoquem uma negação de serviço ou, possivelmente, contornem as restrições previstas da sandbox. Isso pode ser feito fornecendo um número grande que provoque um estouro de buffer baseado em pilha. O problema existe devido a uma regressão de uma falha já conhecida. **Recomendações** Para versões anteriores à 6.0.3, atualize para a versão 6.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de código Lua em sessões do Redis para minimizar o risco de exploração.