Esteban Montes Morales

Nome do Software Vulnerável e Versões Afetadas: Versões do myCred até a 2.9.4.3 Descrição: Existe uma condição de corrida Time-of-Check Time-of-Use (TOCTOU) no myCred. Este problema permite explorar Condições de Corrida Time-of-Check e Time-of-Use (TOCTOU). Recomendações: Atualize o myCred para uma versão posterior à 2.9.4.3.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Anexos do Oracle Document Management and Collaboration. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.3, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao componente Anexos até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado ao controle de acesso insuficiente no componente Runtime Catalog do Oracle iStore, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle iStore. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iStore, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iStore. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema. Para as versões 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Runtime Catalog até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle Email Center, versões 12.1.1 a 12.1.3 Oracle Email Center, versões 12.2.3 a 12.2.9 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente KB Search do Oracle Email Center, parte do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem exigir a interação de alguém além do invasor e podem impactar significativamente outros produtos, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis no Oracle Email Center. **Recomendações** Para as versões 12.1.1 a 12.1.3 do Oracle Email Center, atualize para uma versão que inclua os patches de segurança necessários para corrigir o problema de controle de acesso inadequado. Para as versões 12.2.3 a 12.2.9 do Oracle Email Center, aplique as correções de segurança recomendadas para mitigar a vulnerabilidade e garantir o controle de acesso adequado. Como solução alternativa temporária, considere restringir o acesso ao componente KB Search até que um patch esteja disponível.