Khuyen Nguyen

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.9 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente APIs do Oracle Installed Base, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Installed Base. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis do Oracle Installed Base. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.9, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente de APIs do Oracle Installed Base para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versão 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Print Server do Oracle One-to-One Fulfillment. Isso permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa o Oracle One-to-One Fulfillment, exigindo a interação humana de uma pessoa que não seja o próprio invasor. Ataques bem-sucedidos podem impactar significativamente outros produtos e resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle One-to-One Fulfillment, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle One-to-One Fulfillment. **Recomendações** Para a versão 12.1.3, considere restringir o acesso ao componente Print Server até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso à rede a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os dados de entrada sejam cuidadosamente validados para evitar acesso não autorizado ou modificação de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Marketing. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Marketing. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Marketing Administration do Oracle Marketing, parte do sistema Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e podem impactar significativamente outros produtos, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis no Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Marketing Administration até que um patch esteja disponível. Restrinja o acesso ao protocolo HTTP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Marketing, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Marketing, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Marketing. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Marketing Administration até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e implemente medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 8.0.21 e anteriores do MySQL Server **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Server: Optimizer do produto MySQL Server. Isso permite que um invasor com acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas com frequência (DOS completo) do MySQL Server. **Recomendações** Para as versões 8.0.21 e anteriores, atualize para uma versão que contenha uma correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso de rede ao MySQL Server para minimizar o risco de exploração. Evite usar o protocolo MySQL pela rede até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Configurator, versões 12.1 a 12.2 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente UI Servlet do Oracle Configurator, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle Configurator, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis pelo Oracle Configurator. **Recomendações** Para as versões 12.1 e 12.2 do Oracle Configurator, considere restringir o acesso ao componente UI Servlet para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Configurator a fim de reduzir a superfície de ataque. Restrinja o acesso a dados confidenciais e implemente monitoramento adicional para detectar possíveis acessos ou modificações não autorizados.

**Nome do software vulnerável e versões afetadas** Oracle iSupport, versões 12.1.1 a 12.1.3 Oracle iSupport, versões 12.2.3 a 12.2.9 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Oracle iSupport do Oracle E-Business Suite. A exploração desse problema pode permitir que um invasor remoto obtenha acesso para ler, modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana de alguém que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle iSupport, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis pelo Oracle iSupport. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.9, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle iSupport para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Depot Repair, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso insuficientes no componente Estimate and Actual Charges do Oracle Depot Repair, permitindo que um invasor remoto leia, modifique, adicione ou exclua dados usando o protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Intelligence, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente DBI Setups do Oracle E-Business Intelligence, permitindo que um invasor remoto obtenha acesso para ler, modificar, adicionar ou excluir dados via protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, resultando em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente DBI Setups para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para transações de dados confidenciais.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente Interface do Usuário do Oracle Advanced Outbound Telephony, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle Advanced Outbound Telephony, bem como acesso não autorizado para atualizar, inserir ou excluir alguns desses dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente de interface do usuário do Oracle Advanced Outbound Telephony para minimizar o risco de exploração até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Advanced Outbound Telephony, versões 12.1.1 a 12.1.3 Oracle Advanced Outbound Telephony, versões 12.2.3 a 12.2.9 **Descrição** O problema está relacionado ao controle de acesso insuficiente no componente Configurações do Oracle Advanced Outbound Telephony, permitindo que um invasor remoto obtenha acesso para ler, modificar, adicionar ou excluir dados via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 12.2.3 a 12.2.9, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Configurações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Software Cisco IOS e Software Cisco IOS XE em switches da série Catalyst 4500 (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no subsistema do Protocolo Simples de Gerenciamento de Rede (SNMP) pode permitir que um invasor remoto autenticado provoque uma condição de negação de serviço (DoS). A vulnerabilidade se deve à validação insuficiente de entradas quando o software processa identificadores de objetos SNMP específicos. Um invasor poderia explorar essa vulnerabilidade enviando um pacote SNMP malicioso a um dispositivo afetado. Uma exploração bem-sucedida poderia permitir que o invasor fizesse com que o dispositivo afetado fosse reiniciado, resultando em uma condição de DoS. Para explorar essa vulnerabilidade usando o SNMPv2c ou versões anteriores, o invasor deve conhecer a string de comunidade SNMP somente leitura do sistema afetado. Para explorar essa vulnerabilidade usando o SNMPv3, o invasor deve conhecer as credenciais de usuário do sistema afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Apache Tomcat de 7.0.0 a 7.0.99 Versões do Apache Tomcat de 8.5.0 a 8.5.50 Versões do Apache Tomcat de 9.0.0.M1 a 9.0.30 **Descrição** O problema está relacionado ao código de análise de cabeçalhos HTTP, que utilizava uma abordagem para a análise de fim de linha que permitia que alguns cabeçalhos HTTP inválidos fossem analisados como válidos. Isso levava à possibilidade de contrabando de solicitações HTTP (HTTP Request Smuggling) se o Tomcat estivesse localizado atrás de um proxy reverso que tratasse incorretamente o cabeçalho `Transfer-Encoding` inválido de uma maneira específica. A existência de tal proxy reverso é considerada improvável. **Recomendações** Para as versões do Apache Tomcat 7.0.0 a 7.0.99, atualize para uma versão que corrija o problema de análise de cabeçalhos HTTP. Para as versões do Apache Tomcat 8.5.0 a 8.5.50, atualize para uma versão que corrija o problema de análise de cabeçalhos HTTP. Para as versões 9.0.0.M1 a 9.0.30 do Apache Tomcat, atualize para uma versão que corrija o problema de análise do cabeçalho HTTP. Como solução alternativa temporária, considere restringir o acesso ao cabeçalho `Transfer-Encoding` na configuração do proxy reverso para minimizar o risco de exploração.