Lukasz Rupala

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** A vulnerabilidade está relacionada a um controle de acesso inadequado no componente Analytics Web Dashboards do Oracle Business Intelligence Enterprise Edition. Ela permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle WebCenter Portal, versões 11.1.1.9.0 a 12.2.1.4.0 Descrição: A vulnerabilidade existe devido à validação insuficiente de entradas no componente Security Framework do Oracle WebCenter Portal. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas via protocolo HTTP. Ataques bem-sucedidos podem exigir interação humana e causar impacto significativo em outros produtos, resultando potencialmente em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis no Oracle WebCenter Portal. Recomendações: Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Metasys Application and Data Server (ADS, ADS-Lite) versões anteriores à 10.1 Metasys Extended Application and Data Server (ADX) versões anteriores à 10.1 Metasys Open Data Server (ODS) versões anteriores à 10.1 Metasys Open Application Server (OAS) versão 10.1 Metasys Network Automation Engine (somente NAE55) versões 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6 Metasys Network Integration Engine (NIE55/NIE59) versões 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6 Metasys NAE85 e NIE85 versões anteriores à 10.1 Metasys LonWorks Control Server (LCS) versões anteriores à 10.1 Metasys System Configuration Tool (SCT) versões anteriores à 13.2 Metasys Smoke Control Network Automation Engine (NAE55, listado na UL 864 UUKL/ORD-C100-13 UUKLC 10ª Edição) versão 8.1 **Descrição** Existe uma vulnerabilidade XXE na família de produtos Metasys Web Services, que tem o potencial de facilitar ataques DoS ou a coleta de arquivos ASCII do servidor. **Recomendações** Para as versões do Metasys Application and Data Server (ADS, ADS-Lite) anteriores à 10.1, atualize para uma versão posterior à 10.1. Para versões do Metasys Extended Application and Data Server (ADX) anteriores à 10.1, atualize para uma versão posterior à 10.1. Para versões do Metasys Open Data Server (ODS) anteriores à 10.1, atualize para uma versão posterior à 10.1. Para o Metasys Open Application Server (OAS) versão 10.1, atualize para uma versão posterior à 10.1. Para o Metasys Network Automation Engine (somente NAE55) versões 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6,

**Nome do software vulnerável e versões afetadas** PeopleSoft Enterprise PeopleTools, versões 8.56 a 8.57 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente PIA Core Technology. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o PeopleSoft Enterprise PeopleTools, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do PeopleSoft Enterprise PeopleTools, bem como acesso não autorizado para leitura de um subconjunto desses dados. **Recomendações** Para as versões 8.56 e 8.57, considere restringir o acesso ao componente PIA Core Technology para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o PeopleSoft Enterprise PeopleTools a fim de reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.