Longofo

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Samples do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebLogic Server, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do servidor. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Samples do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do servidor, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do servidor. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Coherence de 12.1.3.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle Coherence, permitindo que um invasor não autenticado com acesso à rede via protocolos T3 ou IIOP comprometa o Oracle Coherence. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Coherence. A vulnerabilidade é difícil de explorar. **Recomendações** Para as versões 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado ao componente Web Services do Oracle WebLogic Server, que pode ser explorado por um invasor não autenticado com acesso à rede via protocolos T3 ou IIOP. Isso pode levar a uma condição de negação de serviço (DOS), fazendo com que o servidor trave ou pare de funcionar repetidamente. A vulnerabilidade se deve à limpeza ou liberação incorreta de recursos. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o componente Web Services até que um patch esteja disponível. Evite usar os protocolos T3 ou IIOP nas versões afetadas do Oracle WebLogic Server até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Essbase Analytic Provider Services, versões 11.1.2.4 a 21.2 **Descrição** O problema está relacionado a erros no processamento de dados de entrada no componente web do Essbase Analytic Provider Services. Ele pode ser explorado por um invasor remoto para causar uma negação de serviço. Ataques bem-sucedidos podem resultar na capacidade de fazer com que o serviço trave ou falhe repetidamente, levando a uma negação de serviço completa. **Recomendações** Para as versões 11.1.2.4 e 21.2, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versão 12.2.1.4.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Analytics Web General do Oracle Business Intelligence Enterprise Edition. Isso permite que um invasor remoto obtenha controle total sobre o aplicativo por meio do protocolo HTTP. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Business Intelligence Enterprise Edition. **Recomendações** Para a versão 12.2.1.4.0, considere desativar o BIRemotingServlet para impedir a desserialização de dados não confiáveis até que um patch esteja disponível. Restrinja o acesso ao componente Analytics Web General para minimizar o risco de exploração. Evite usar o protocolo HTTP para acessar o componente vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Coherence versões 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle Coherence, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. **Recomendações** Para as versões 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server versões 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Web Services do Oracle WebLogic Server, permitindo que um invasor remoto obtenha acesso não autorizado ao dispositivo por meio dos protocolos T3 e IIOP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis no Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração. Evite usar dados não confiáveis no processo de desserialização do protocolo T3 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via T3 ou IIOP comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir dados, bem como causar uma negação parcial de serviço. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: IBM WebSphere Application Server, versões 7.0 a 9.0 Descrição: A vulnerabilidade permite que um invasor remoto execute um ataque de injeção de entidade externa XML (XXE) quando o software processa dados XML. Isso pode levar à exposição de informações confidenciais ou ao consumo excessivo de recursos de memória. Recomendações: Para o IBM WebSphere Application Server, versões 7.0 a 9.0, atualize para uma versão que inclua uma correção para este problema, a fim de evitar ataques XXE. Como solução alternativa temporária, considere restringir o processamento de entidades XML externas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: IBM WebSphere Application Server, versões 8.0 a 9.0 Descrição: A vulnerabilidade permite que um invasor remoto execute um ataque de injeção de entidade externa XML (XXE) quando o software processa dados XML. Isso pode levar à exposição de informações confidenciais ou ao consumo excessivo de recursos de memória. Recomendações: Para as versões 8.0 a 9.0, atualize para uma versão que inclua uma correção para este problema, a fim de evitar ataques XXE. Como solução alternativa temporária, considere restringir o processamento de entidades XML externas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: IBM WebSphere Application Server, versões 7.0 a 9.0 Descrição: O problema está relacionado a um ataque de injeção de entidade externa XML (XXE) durante o processamento de dados XML. Um invasor remoto poderia explorar essa vulnerabilidade para expor informações confidenciais ou consumir recursos de memória. Recomendações: Para as versões 7.0 a 9.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de injeção de entidade externa XML. Como solução alternativa temporária, considere restringir o processamento de dados XML provenientes de fontes não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IBM WebSphere Application Server, versões 7.0 a 9.0 **Descrição** O problema está relacionado a um ataque de injeção de entidade externa XML (XXE) durante o processamento de dados XML. Um invasor remoto poderia explorar essa vulnerabilidade para expor informações confidenciais ou consumir recursos de memória. **Recomendações** Para as versões 7.0 a 9.0, atualize para uma versão que inclua uma correção para a vulnerabilidade de injeção de entidade externa XML (XXE). Como solução alternativa temporária, considere restringir o processamento de entidades XML externas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Console do Oracle WebLogic Server, permitindo que um invasor remoto obtenha controle total sobre o aplicativo por meio do protocolo HTTP. Isso pode resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade é facilmente explorável e pode ser usada por um invasor com privilégios elevados e acesso à rede. **Recomendações** Para as versões do Oracle WebLogic Server de 10.3.6.0.0 a 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no Oracle WebLogic Server, permitindo que um invasor remoto execute código arbitrário por meio do protocolo IIOP. Isso pode resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade pode ser facilmente explorada por um invasor não autenticado com acesso à rede. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, considere desativar o protocolo IIOP até que um patch esteja disponível para impedir a exploração. Como solução alternativa temporária, restrinja o acesso ao componente Core do Oracle WebLogic Server para minimizar o risco de exploração. Evite usar o protocolo IIOP nas versões afetadas do Oracle WebLogic Server até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Interface do Usuário do Oracle Advanced Outbound Telephony. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Advanced Outbound Telephony, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle Advanced Outbound Telephony. Ataques bem-sucedidos também podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Advanced Outbound Telephony. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente de interface do usuário do Oracle Advanced Outbound Telephony para minimizar o risco de exploração. Como solução alternativa temporária, limite o uso de solicitações HTTP ao componente afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Web Services do Oracle WebLogic Server, permitindo que um invasor remoto obtenha controle total sobre o aplicativo usando os protocolos de rede IIOP e T3. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para a versão 10.3.6.0.0, atualize para uma versão que inclua a correção para este problema. Para a versão 12.1.3.0.0, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.1.3.0, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Serviços da Web até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente WLS Web Services do Oracle WebLogic Server, permitindo que um invasor com privilégios elevados e acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente WLS Web Services até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o uso dos protocolos IIOP e T3 para minimizar o risco de exploração. Restrinja o acesso de rede ao Oracle WebLogic Server para minimizar o risco de ataques remotos.

**Nome do software vulnerável e versões afetadas** Oracle Coherence versões 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado a controles de acesso insuficientes nos componentes Caching, CacheStore e Invocation do Oracle Coherence. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle Coherence. **Recomendações** Para a versão 3.7.1.0, atualize para uma versão que inclua as correções de segurança necessárias. Para a versão 12.1.3.0.0, aplique os patches de segurança recomendados para resolver o problema. Para a versão 12.2.1.3.0, considere restringir o acesso aos componentes Caching, CacheStore e Invocation até que um patch esteja disponível. Para a versão 12.2.1.4.0, desative temporariamente os componentes vulneráveis como solução alternativa até que uma correção oficial seja lançada.