Graham Rymer

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Diagnostics da Oracle Application Object Library. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa a Oracle Application Object Library, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis da Oracle Application Object Library, podendo afetar outros produtos. Recomendações: Para as versões 12.1.3 e 12.2.3 a 12.2.10, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: FasterXML jackson-databind, versões 2.0.0 a 2.9.10.2 FasterXML jackson-databind 2.x anteriores à versão 2.6.7.4 FasterXML jackson-databind 2.7.x anteriores à versão 2.7.9.7 FasterXML jackson-databind 2.8.x anterior à versão 2.8.11.5 FasterXML jackson-databind 2.9.x anterior à versão 2.9.10.2 Descrição: O problema está relacionado ao componente xbean-reflect/JNDI da biblioteca Jackson-databind, que carece de certos bloqueios, conforme demonstrado por `org.apache.xbean.propertyeditor.JndiConverter`. Isso pode permitir que um invasor remoto acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço ao explorar a vulnerabilidade, que está associada à restauração de estruturas de dados não confiáveis na memória. Recomendações: Para as versões 2.0.0 a 2.9.10.2 do FasterXML jackson-databind, atualize para uma versão que inclua o bloqueio xbean-reflect/JNDI necessário. Para o FasterXML jackson-databind 2.x anterior à versão 2.6.7.4, atualize para a versão 2.6.7.4 ou posterior. Para o FasterXML jackson-databind 2.7.x anterior à versão 2.7.9.7, atualize para a versão 2.7.9.7 ou posterior. Para o FasterXML jackson-databind 2.8.x anterior à versão 2.8.11.5, atualize para a versão 2.8.11.5 ou posterior. Para o FasterXML jackson-databind 2.9.x anterior à versão 2.9.10.2, atualize para a versão 2.9.10.2 ou posterior. Como solução temporária, considere desativar a classe `org.apache.xbean.propertyeditor.JndiConverter` até que um patch esteja disponível.