Filip Ceglik

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Crime and Compliance Investigation Hub versão 20.1.2 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Relatórios do Oracle Financial Services Crime and Compliance Investigation Hub, permitindo que um invasor obtenha acesso para modificar, adicionar ou excluir dados via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso de leitura não autorizado a um subconjunto de dados. **Recomendações** Para a versão 20.1.2, considere restringir o acesso ao componente Relatórios até que um patch esteja disponível. Como solução alternativa temporária, limite o acesso de logon à infraestrutura onde o Oracle Financial Services Crime and Compliance Investigation Hub é executado para minimizar o risco de exploração. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion Lifecycle Management versão 11.1.2.4 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Shared Services. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Hyperion Lifecycle Management; no entanto, para que os ataques sejam bem-sucedidos, é necessária a interação humana de uma pessoa que não seja o próprio invasor. Isso pode resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis no Hyperion Lifecycle Management. **Recomendações** Para a versão 11.1.2.4, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Unified Directory versões 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de segurança do Oracle Unified Directory, parte do Oracle Fusion Middleware. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Oracle Unified Directory, exigindo a interação humana de alguém que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, incluindo a criação, exclusão ou modificação de dados, bem como a capacidade de causar um travamento ou falha do Oracle Unified Directory. **Recomendações** Para as versões 11.1.2.3.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao protocolo HTTP até que uma correção esteja disponível. Como solução alternativa temporária, considere desativar o componente `Security` até que um patch esteja disponível. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion BI+ versão 11.1.2.4 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente UI & Visualization do Oracle Hyperion BI+. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas usando o protocolo HTTP. A exploração é considerada difícil e requer interação humana de alguém além do invasor, bem como privilégios elevados e acesso à rede. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. **Recomendações** Para a versão 11.1.2.4, considere restringir o acesso ao componente UI & Visualization até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Apache NetBeans até a 11.2, inclusive Descrição: O problema está relacionado ao sistema de atualização automática do Apache NetBeans, que não valida certificados SSL e nomes de host para downloads baseados em HTTPS. Isso permite que um invasor intercepte downloads de atualizações automáticas e modifique o arquivo baixado, podendo injetar código malicioso. A vulnerabilidade pode comprometer a confidencialidade e a integridade das informações protegidas. Recomendações: Para versões do Apache NetBeans até e incluindo a 11.2, considere desativar o recurso de atualização automática até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao sistema de atualização automática para minimizar o risco de injeção de código malicioso. Evite usar o sistema de atualização automática para downloads baseados em https até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.