Khuyenn

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.8.3 Versões do WordPress anteriores à 4.1.34 **Descrição** O WordPress é um sistema de gerenciamento de conteúdo gratuito e de código aberto, escrito em PHP e integrado a um banco de dados MariaDB. Devido à falta de sanitização adequada em uma das classes, existe o risco de que consultas SQL indesejadas sejam executadas. **Recomendações** Para versões do WordPress anteriores à 5.8.3, atualize para a versão 5.8.3 ou posterior. Para versões do WordPress anteriores à 4.1.34, atualize para a versão 4.1.34 ou posterior. Mantenha as atualizações automáticas ativadas para garantir que os patches de segurança mais recentes sejam aplicados. No momento, não há informações sobre medidas de mitigação adicionais para este problema.

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.8.3 Versões do WordPress 3.7.37 e anteriores **Descrição** O problema está relacionado à sanitização inadequada na função WP Query do sistema de gerenciamento de conteúdo WordPress, o que pode levar à injeção de SQL por meio de determinados plugins ou temas. Isso pode permitir que um invasor remoto divulgue credenciais armazenadas. A vulnerabilidade foi corrigida na versão 5.8.3 do WordPress, e as versões anteriores afetadas também foram corrigidas por meio de atualizações de segurança. **Recomendações** Para versões do WordPress anteriores à 5.8.3, atualize para a versão 5.8.3 ou posterior para resolver o problema. Para versões do WordPress 3.7.37 e anteriores, atualize para a versão 3.7.37 ou posterior para resolver o problema. Como medida de mitigação geral, mantenha as atualizações automáticas ativadas para garantir que os patches de segurança mais recentes sejam aplicados.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.9 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário do Oracle Advanced Outbound Telephony. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Advanced Outbound Telephony, resultando potencialmente em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Advanced Outbound Telephony. Ataques bem-sucedidos também podem permitir acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Advanced Outbound Telephony e exigir interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.9, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente de interface do usuário do Oracle Advanced Outbound Telephony para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Balance Sheet Planning versão 8.0.8 **Descrição** O problema está relacionado ao componente de Interface do Usuário do produto Oracle Financial Services Balance Sheet Planning. Ele permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. A vulnerabilidade é facilmente explorável e pode ser usada para obter acesso a informações confidenciais. **Recomendações** Para a versão 8.0.8, considere restringir o acesso ao componente de interface do usuário até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP para minimizar o risco de exploração. Além disso, revise e restrinja os privilégios de acesso a dados confidenciais para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Asset Liability Management, versões 8.0.6 a 8.0.7 **Descrição** O problema está relacionado à falta de proteção dos dados de serviço no componente de interface do usuário do Oracle Financial Services Asset Liability Management. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em criação, exclusão ou modificação não autorizadas de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 8.0.6 e 8.0.7, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado e a modificação de dados. Como solução alternativa temporária, considere restringir o acesso ao componente Interface do Usuário até que um patch esteja disponível. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Advanced Outbound Telephony, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso insuficientes no componente Calendário do Oracle Advanced Outbound Telephony, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Calendário até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso remoto a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente “Estimate and Actual Charges” do Oracle Depot Repair, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente “Estimate and Actual Charges” do Oracle Depot Repair. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Depot Repair, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis do Oracle Depot Repair. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Depot Repair. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente “Estimate and Actual Charges” do Oracle Depot Repair, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Depot Repair, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Estimate and Actual Charges do Oracle Depot Repair, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem impactar significativamente outros produtos e resultar em acesso não autorizado a dados críticos, bem como em atualizações, inserções ou exclusões não autorizadas de alguns dados. Esses ataques requerem a interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente “Estimate and Actual Charges” do Oracle Depot Repair. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Depot Repair, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis do Oracle Depot Repair. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Depot Repair. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente Estimate and Actual Charges do Oracle Depot Repair, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis pelo Oracle Depot Repair, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Depot Repair. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários do sistema estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente “Estimate and Actual Charges” do Oracle Depot Repair, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Knowledge Management, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso insuficientes nos componentes Setup e Admin do Oracle Knowledge Management. Ele pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, resultando potencialmente em acesso não autorizado a dados críticos, bem como acesso não autorizado para atualização, inserção ou exclusão de alguns dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso aos componentes de Configuração e Administração até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Knowledge Management a fim de minimizar o risco de exploração. Evite usar os componentes vulneráveis para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Service Intelligence, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso insuficientes no componente Operações Internas - Pesquisa do Oracle Service Intelligence. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos exigem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado e a possível manipulação de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado à falta de proteção dos dados de serviço no componente “Setup of Mobile Applications” do Oracle CRM Gateway for Mobile Devices. Essa vulnerabilidade, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle CRM Gateway for Mobile Devices, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso total a todos os dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado a dados críticos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Marketing, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Marketing Administration do Oracle Marketing, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem impactar significativamente outros produtos e resultar em acesso não autorizado a dados críticos, bem como em atualizações, inserções ou exclusões não autorizadas de alguns dados. Esses ataques requerem a interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Administração de Marketing até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Marketing, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso insuficientes no componente Marketing Administration do Oracle Marketing. Ele pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais usando o protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, levando potencialmente ao acesso não autorizado a dados críticos, bem como ao acesso não autorizado para atualização, inserção ou exclusão de alguns dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Administração de Marketing até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais. Além disso, certifique-se de que todos os usuários com acesso ao Oracle Marketing estejam cientes dos riscos potenciais e tomem as precauções necessárias para evitar serem vítimas de ataques de engenharia social que possam explorar essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Marketing, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Marketing Administration do Oracle Marketing, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, resultando em acesso não autorizado a dados críticos, bem como acesso para atualizar, inserir ou excluir alguns dados. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Administração de Marketing até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Marketing a fim de minimizar o risco de exploração. Evite usar o componente Administração de Marketing para operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente Print Server do Oracle One-to-One Fulfillment. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Print Server até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso remoto a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que possam ser usados em conjunto com esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.