Dimitris Doganos

**Nome do software vulnerável e versões afetadas** Oracle Commerce Guided Search versão 11.3.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente “Tools and Frameworks” do Oracle Commerce Guided Search. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Commerce Guided Search, resultando em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. **Recomendações** Para a versão 11.3.2, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Commerce Guided Search / Oracle Commerce Experience Manager versão 11.3.1.5 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente “Tools and Frameworks” do Oracle Commerce Guided Search e do Oracle Commerce Experience Manager. Isso permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados, incluindo acesso para atualização, inserção, exclusão e leitura. **Recomendações** Para a versão 11.3.1.5, atualize para uma versão mais recente que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente CRM User Management Framework do Oracle Common Applications no Oracle E-Business Suite. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas ou modifique, adicione ou exclua dados usando o protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente CRM User Management Framework até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Commerce Guided Search / Oracle Commerce Experience Manager versão 11.3.1.5 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Ferramentas e Estruturas do Oracle Commerce Guided Search e do Oracle Commerce Experience Manager. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A exploração pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados. **Recomendações** Para a versão 11.3.1.5, considere restringir o acesso ao componente vulnerável até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do acesso de rede HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Commerce Guided Search / Oracle Commerce Experience Manager versão 11.3.1.5 **Descrição** O problema existe devido à validação insuficiente de entradas no componente “Tools and Frameworks” do Oracle Commerce Guided Search e do Oracle Commerce Experience Manager. Isso permite que um invasor remoto obtenha acesso não autorizado à leitura de um subconjunto de dados acessíveis por meio do protocolo HTTP. **Recomendações** Para a versão 11.3.1.5, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.