Emad Al-Mousa

Nome do Software Vulnerável e Versões Afetadas: SQL Server (versões afetadas não especificadas) Descrição: Controle de acesso inadequado no SQL Server permite que um atacante autorizado eleve privilégios através da rede. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Oracle Database Server versões 19.3 a 19.27 Oracle Database Server versões 21.3 a 21.18 Oracle Database Server versões 23.4 a 23.8 **Descrição** Este problema encontra-se no componente Unified Audit do Oracle Database Server. Um atacante com privilégios elevados, possuindo o privilégio Create User e acesso de rede via Oracle Net, pode comprometer o Unified Audit. A exploração bem-sucedida requer interação de um usuário diferente do atacante e pode resultar em modificação, inserção ou exclusão não autorizada de dados no Unified Audit. **Recomendações** Oracle Database Server versões 19.3 a 19.27: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Oracle Database Server versões 21.3 a 21.18: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Oracle Database Server versões 23.4 a 23.8: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Oracle Database de 19.3 a 19.27 Versões do Oracle Database de 21.3 a 21.18 Versões do Oracle Database de 23.4 a 23.8 **Descrição** Este problema afeta o componente de Visão Materializada do Oracle Database. Um atacante altamente privilegiado, com o privilégio Execute on DBMS REDEFINITION e acesso de rede via Oracle Net, pode comprometer a Visão Materializada do Oracle Database. A exploração bem-sucedida pode levar à modificação, inserção ou exclusão não autorizada de dados dentro de Visões Materializadas acessíveis. **Recomendações** Versões do Oracle Database de 19.3 a 19.27: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do Oracle Database de 21.3 a 21.18: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do Oracle Database de 23.4 a 23.8: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server, versões 19.3 a 19.22 Oracle Database Server, versões 21.3 a 21.13 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Unified Audit do Oracle Database Server. Isso pode permitir que um invasor remoto com privilégios elevados, especificamente aqueles com privilégio SYSDBA e acesso à rede via Oracle Net, comprometa o componente Unified Audit. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados dentro dos dados acessíveis pelo Unified Audit. **Recomendações** Para as versões 19.3 a 19.22 do Oracle Database Server, atualize para uma versão que inclua a correção para este problema. Para as versões 21.3 a 21.13 do Oracle Database Server, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso à rede via Oracle Net para minimizar o risco de exploração. Restrinja o acesso ao componente Unified Audit para minimizar o risco de modificação não autorizada de dados.

Nome do software vulnerável e versões afetadas: Oracle Database Server, versões 19.3 a 19.22 Oracle Database Server, versões 21.3 a 21.13 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Oracle Database Sharding. Isso permite que um invasor com privilégios elevados, com privilégios de DBA e acesso à rede via Oracle Net, comprometa o Oracle Database Sharding. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar na capacidade não autorizada de causar uma negação de serviço parcial do Oracle Database Sharding. Recomendações: Para as versões 19.3 a 19.22, atualize para uma versão que inclua a correção para este problema. Para as versões 21.3 a 21.13, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Database Sharding para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.24 Oracle Database Server versions 21.3 through 21.15 Oracle Database Server versions 23.4 through 23.5 **Description** The issue is related to improper authorization in the Database Core Component of Oracle Database Server. This can allow a remote attacker to gain unauthorized access to read, modify, or delete data. Successful attacks can result in unauthorized update, insert, or delete access to some of the Oracle Database Core accessible data. **Recommendations** For versions 19.3 through 19.24, update to a version outside of this range to mitigate the risk. For versions 21.3 through 21.15, update to a version outside of this range to mitigate the risk. For versions 23.4 through 23.5, update to a version outside of this range to mitigate the risk. As a temporary workaround, consider restricting network access via Oracle Net to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Primavera P6 Enterprise Project Portfolio Management versions 19.12.0 through 19.12.22 Primavera P6 Enterprise Project Portfolio Management versions 20.12.0 through 20.12.21 Primavera P6 Enterprise Project Portfolio Management versions 21.12.0 through 21.12.18 Primavera P6 Enterprise Project Portfolio Management versions 22.12.0 through 22.12.12 Primavera P6 Enterprise Project Portfolio Management versions 23.12.0 through 23.12.2 **Description** The issue is related to insufficient input validation in the Web Access component of the Primavera P6 Enterprise Project Portfolio Management product. This can allow a remote attacker to gain unauthorized access to protected information and modify, add, or delete data. Successful attacks can result in unauthorized access to critical data or complete access to all accessible data, as well as unauthorized update, insert, or delete access to some accessible data. **Recommendations** For versions 19.12.0 through 19.12.22, update to a version outside of this range to mitigate the risk. For versions 20.12.0 through 20.12.21, update to a version outside of this range to mitigate the risk. For versions 21.12.0 through 21.12.18, update to a version outside of this range to mitigate the risk. For versions 22.12.0 through 22.12.12, update to a version outside of this range to mitigate the risk. For versions 23.12.0 through 23.12.2, update to a version outside of this range to mitigate the risk. As a temporary workaround, consider restricting access to the Web Access component until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.20 Oracle Database Server versions 21.3 through 21.11 **Description** The issue is related to insufficient input validation in the Oracle Database Recovery Manager component. This allows a high-privileged attacker with DBA account privilege and network access via Oracle Net to compromise the Oracle Database Recovery Manager. Successful attacks can result in the ability to cause a hang or frequently repeatable crash (complete DOS) of the Oracle Database Recovery Manager. **Recommendations** For versions 19.3 through 19.20, update to a version outside of this range to mitigate the risk. For versions 21.3 through 21.11, update to a version outside of this range to mitigate the risk. As a temporary workaround, consider restricting network access via Oracle Net to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.20 Oracle Database Server versions 21.3 through 21.11 **Description** The issue is related to insufficient input validation in the Oracle Database Sharding component. It allows a high-privileged attacker with network access via Oracle Net to compromise Oracle Database Sharding, resulting in a partial denial of service (partial DOS). Successful attacks require human interaction from a person other than the attacker. **Recommendations** For versions 19.3 through 19.20, update to a version outside of this range to resolve the issue. For versions 21.3 through 21.11, update to a version outside of this range to resolve the issue. As a temporary workaround, consider restricting access to the Oracle Database Sharding component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.20 Oracle Database Server versions 21.3 through 21.11 **Description** The issue is related to insufficient input validation in the Database Sharding component of Oracle Database Server. This can be exploited by a remote attacker to cause a partial denial of service. The attack requires human interaction from a person other than the attacker and can be carried out by a high-privileged attacker with Create Session and Select Any Dictionary privileges via Oracle Net. Successful exploitation can result in unauthorized ability to cause a partial denial of service of Oracle Database Sharding. **Recommendations** For Oracle Database Server versions 19.3 through 19.20, update to a version outside of this range to mitigate the risk. For Oracle Database Server versions 21.3 through 21.11, update to a version outside of this range to mitigate the risk. As a temporary workaround, consider restricting access to the Database Sharding component until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19.3 through 19.19 Oracle Database Server versions 21.3 through 21.10 **Description** The issue is related to insufficient input validation in the Unified Audit component of Oracle Database Server. It allows a high-privileged attacker with SYSDBA privilege and network access via Oracle Net to compromise Unified Audit. Successful attacks can result in unauthorized creation, deletion, or modification access to critical data or all Unified Audit accessible data. **Recommendations** For versions 19.3 through 19.19, update to a version outside of this range to mitigate the risk. For versions 21.3 through 21.10, update to a version outside of this range to mitigate the risk. As a temporary workaround, consider restricting access to the Unified Audit component until a patch is available. Restrict network access via Oracle Net to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Oracle SQL Developer versions prior to 23.1.0 **Description** The issue is related to insufficient input validation in the Installation component of Oracle SQL Developer, allowing a high-privileged attacker with logon to the infrastructure where Oracle SQL Developer executes to compromise Oracle SQL Developer. Successful attacks can result in the takeover of Oracle SQL Developer. **Recommendations** For versions prior to 23.1.0, update to version 23.1.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the Installation component until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Oracle Database Server versions 19c through 21c **Description** The issue exists due to insufficient input validation in the Oracle Database Recovery Manager component of Oracle Database Server. This can be exploited by a remote attacker to cause a denial of service. Successful attacks can result in the unauthorized ability to cause a hang or frequently repeatable crash of Oracle Database Recovery Manager, which may significantly impact additional products. **Recommendations** For versions 19c and 21c, apply the necessary patches or updates to fix the vulnerability in the Oracle Database Recovery Manager component. As a temporary workaround, consider restricting network access via Oracle Net to minimize the risk of exploitation. Restrict Local SYSDBA privilege to prevent high privileged attackers from compromising Oracle Database Recovery Manager.

**Nome do software vulnerável e versões afetadas** JD Edwards EnterpriseOne Orchestrator versões 9.2.6.3 e anteriores **Descrição** O problema está relacionado à validação insuficiente de entradas no componente E1 IOT Orchestrator. Isso permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Orchestrator, resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 9.2.6.3 e anteriores, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso de leitura não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database - Enterprise Edition RDBMS Security, versões 12.1.0.2, 19c e 21c **Descrição** O problema está relacionado a erros na liberação de recursos no componente Oracle Database - Enterprise Edition RDBMS Security do Oracle Database Server. A exploração desse problema pode permitir que um invasor remoto cause uma negação de serviço usando o protocolo Oracle Net. Um invasor com privilégios elevados, com privilégios de função de DBA e acesso à rede via Oracle Net, pode comprometer o Oracle Database - Enterprise Edition RDBMS Security, resultando na capacidade de causar uma negação de serviço parcial. **Recomendações** Para a versão 12.1.0.2, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para a versão 19c, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para a versão 21c, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao protocolo Oracle Net para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Database - Enterprise Edition Sharding versão 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Database - Enterprise Edition Sharding do Oracle Database Server. Essa vulnerabilidade, facilmente explorável, permite que um invasor com privilégios elevados, possuindo o privilégio Create Any Procedure e acesso à rede via Oracle Net, comprometa o Oracle Database - Enterprise Edition Sharding, resultando potencialmente em uma tomada de controle. **Recomendações** Para o Oracle Database - Enterprise Edition Sharding versão 19c, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso à rede via Oracle Net para minimizar o risco de exploração. Restrinja o privilégio Create Any Procedure apenas aos usuários que realmente precisam dele, para reduzir a superfície de ataque potencial.

**Nome do software vulnerável e versões afetadas: Oracle Database Enterprise Edition Unified Audit, versões 12.1.0.2, 12.2.0.1 e 19c Descrição: A vulnerabilidade afeta o componente Oracle Database Enterprise Edition Unified Audit do Oracle Database Server, permitindo que um invasor com privilégios elevados, que possua privilégios de login local e acesso à rede via Oracle Net, comprometa o componente. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. Recomendações: Para as versões 12.1.0.2, 12.2.0.1 e 19c, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server, versões 12.2.0.1 a 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Database Vault do Oracle Database Server. Isso permite que um invasor com privilégios elevados, possuindo privilégios de DBA e acesso à rede via Oracle Net, comprometa o Database Vault, resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis pelo Database Vault. A vulnerabilidade pode ser explorada remotamente usando o protocolo HTTP. **Recomendações** Para as versões 12.2.0.1 e 19c, considere restringir o acesso ao componente Database Vault até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso à rede via Oracle Net para minimizar o risco de exploração. Evite usar o componente Database Vault para armazenamento de dados confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database - Enterprise Edition, versões 12.1.0.2 a 19c **Descrição** O problema está relacionado a um controle de acesso inadequado no componente Oracle Database - Enterprise Edition do Oracle Database Server. Isso permite que um invasor com privilégios elevados, possuindo privilégios de execução do RMAN e acesso de logon à infraestrutura, comprometa o Oracle Database - Enterprise Edition. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Database - Enterprise Edition. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versões 12.1.0.2, 12.2.0.1, 18c e 19c **Descrição** O problema está relacionado ao componente Database Vault, onde uma vulnerabilidade facilmente explorável permite que um invasor com privilégios elevados, com privilégios de “Create Any View” e “Select Any View” e acesso à rede via Oracle Net, comprometa o Database Vault. Isso pode resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis pelo Database Vault. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente Database Vault até que um patch esteja disponível. Como solução alternativa temporária, limite o uso dos privilégios Create Any View e Select Any View para minimizar o risco de exploração. Restrinja o acesso à rede via Oracle Net para reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.