Paul Barbé

**Name of the Vulnerable Software and Affected Versions** Oracle Hyperion Essbase Administration Services version 21.4.3.0.0 **Description** The issue is related to insufficient input validation in the EAS Administration and EAS Console components of Oracle Hyperion Essbase Administration Services. This allows a high-privileged attacker with logon to the infrastructure where Oracle Hyperion Essbase Administration Services executes to compromise the service. Successful attacks can result in unauthorized access to critical data or complete access to all accessible data. The vulnerability may significantly impact additional products. **Recommendations** For version 21.4.3.0.0, consider restricting access to the EAS Administration and EAS Console components until a patch is available. As a temporary workaround, limit the use of the HTTP protocol to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Essbase anteriores à 11.1.2.4.046 Versões do Oracle Essbase anteriores à 21.3 Descrição: A vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa os Serviços de Administração do Essbase, podendo afetar outros produtos. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso total a todos os dados acessíveis pelos Serviços de Administração do Essbase, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis. Recomendações: Para versões do Oracle Essbase anteriores à 11.1.2.4.046, atualize para a versão 11.1.2.4.046 ou posterior. Para versões do Oracle Essbase anteriores à 21.3, atualize para a versão 21.3 ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Essbase anteriores à 11.1.2.4.046 Versões do Oracle Essbase anteriores à 21.3 Descrição: A vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Essbase Administration Services, o que pode resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados disponíveis. Embora a vulnerabilidade esteja nos Serviços de Administração do Essbase, os ataques podem impactar significativamente outros produtos. Recomendações: Para versões do Oracle Essbase anteriores à 11.1.2.4.046, atualize para a versão 11.1.2.4.046 ou posterior. Para versões do Oracle Essbase anteriores à 21.3, atualize para a versão 21.3 ou posterior.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.2.6 a 12.2.10 Descrição: A vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Shipping Execution, resultando na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis, bem como no acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. Recomendações: Para as versões 12.2.6 a 12.2.10, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Essbase anteriores à 11.1.2.4.046 Versões do Oracle Essbase anteriores à 21.3 Descrição: A falha permite que um invasor não autenticado com acesso à rede via HTTP comprometa os Serviços de Administração do Essbase (EAS), resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis. A vulnerabilidade é facilmente explorável e afeta o componente EAS Console. Recomendações: Para versões do Oracle Essbase anteriores à 11.1.2.4.046, atualize para a versão 11.1.2.4.046 ou posterior. Para versões do Oracle Essbase anteriores à 21.3, atualize para a versão 21.3 ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Essbase anteriores à 11.1.2.4.046 Versões do Oracle Essbase anteriores à 21.3 Descrição: A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa os Serviços de Administração do Essbase. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva dos Serviços de Administração do Essbase. Recomendações: Para versões anteriores à 11.1.2.4.046, atualize para a versão 11.1.2.4.046 ou posterior. Para versões anteriores à 21.3, atualize para a versão 21.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Essbase anteriores à 11.1.2.4.046 Versões do Oracle Essbase anteriores à 21.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente EAS Console do Oracle Essbase Administration Services. Essa vulnerabilidade, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Essbase Administration Services, podendo levar à apropriação do sistema. Os ataques podem afetar significativamente outros produtos. **Recomendações** Para versões anteriores à 11.1.2.4.046, atualize para a versão 11.1.2.4.046 ou posterior. Para versões anteriores à 21.3, atualize para a versão 21.3 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao componente EAS Console até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Essbase Analytic Provider Services versão 11.1.2.4 **Descrição** O problema está relacionado a erros no processamento de dados de entrada no componente JAPI do Essbase Analytic Provider Services. Isso pode permitir que um invasor remoto obtenha acesso total a dados críticos. A vulnerabilidade pode ser facilmente explorada por um invasor não autenticado com acesso à rede via HTTP, mas ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor. Isso pode resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis, bem como no acesso não autorizado a dados críticos. **Recomendações** Para a versão 11.1.2.4, considere restringir o acesso ao componente JAPI até que um patch esteja disponível. Como solução alternativa temporária, desativar o componente JAPI pode ajudar a minimizar o risco de exploração. Além disso, restringir o acesso à rede via HTTP aos Essbase Analytic Provider Services também pode reduzir o risco.

**Nome do software vulnerável e versões afetadas** Versões 8.0.25 e anteriores do MySQL Server **Descrição** O problema está relacionado a erros na liberação de recursos no componente Server: Optimizer do produto MySQL Server. Isso permite que um invasor com privilégios elevados e acesso à rede por meio de vários protocolos comprometa o MySQL Server. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou uma falha repetitiva (DOS completo) do MySQL Server. **Recomendações** Para as versões 8.0.25 e anteriores, atualize para uma versão posterior à 8.0.25 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion Infrastructure Technology versão 11.2.5.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Lifecycle Management. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Hyperion Infrastructure Technology, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para a versão 11.2.5.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion Infrastructure Technology versão 11.2.5.0 **Descrição** A vulnerabilidade está relacionada à validação insuficiente de entradas no componente Lifecycle Management. Ela permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Hyperion Infrastructure Technology; no entanto, para que os ataques sejam bem-sucedidos, é necessária a interação humana de uma pessoa que não seja o invasor. Isso pode resultar em criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis pelo Hyperion Infrastructure Technology, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Hyperion Infrastructure Technology. **Recomendações** Para a versão 11.2.5.0, considere restringir o acesso ao componente Lifecycle Management para minimizar o risco de exploração até que um patch esteja disponível. Além disso, certifique-se de que todas as entradas sejam cuidadosamente validadas para impedir o acesso não autorizado aos dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Hyperion BI+ versões 11.1.2.4 a 11.2.5.0 **Descrição** O problema está relacionado à validação insuficiente de entradas na interface do usuário (UI) e no componente de visualização do Oracle Hyperion BI+, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle Hyperion BI+. **Recomendações** Para as versões 11.1.2.4 e 11.2.5.0, considere restringir o acesso ao componente de interface do usuário (UI) e visualização até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o uso do protocolo HTTP para minimizar o risco de exploração. Evite usar o componente vulnerável para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Servidor HTTP Apache, versões 2.4.0 a 2.4.46 **Descrição** O problema é causado por um estouro de pilha na função `mod auth digest` do Servidor HTTP Apache. Isso pode ser desencadeado por um nonce Digest especialmente criado. Embora não haja relatos de que esse estouro seja explorável, certos compiladores e/ou opções de compilação podem tornar isso possível, com consequências limitadas devido ao tamanho e ao valor do estouro. **Recomendações** Para as versões 2.4.0 a 2.4.46 do servidor HTTP Apache, considere atualizar para uma versão em que este problema tenha sido corrigido, pois a versão atual pode estar vulnerável a um estouro de pilha na função `mod auth digest`. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.