Quynh Le

**Nome do software vulnerável e versões afetadas** D-Link DIR-822, versões 2.02KRB09 a 2.03WWb01 D-Link DIR-822-CA, versões 2.02KRB09 a 2.03WWb01 **Descrição** O problema está relacionado a uma vulnerabilidade de execução remota de código (RCE) não autenticada no lado da LAN, originada de um estouro de buffer baseado na pilha HNAP. Essa vulnerabilidade pode ser explorada por invasores não autenticados para obter execução remota de código arbitrário no roteador vulnerável. **Recomendações** Para o D-Link DIR-822, versões 2.02KRB09 a 2.03WWb01: Substitua o roteador imediatamente. Para o D-Link DIR-822-CA, versões 2.02KRB09 a 2.03WWb01: Substitua o roteador imediatamente. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher, versões 5.5.0.0.0 a 12.2.1.4.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Scheduler do Oracle BI Publisher, parte da plataforma Oracle Fusion Middleware. Isso permite que um invasor remoto execute código arbitrário e comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle BI Publisher. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle BI Publisher, versões 5.5.0.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente E-Business Suite - XDO do Oracle BI Publisher, parte da plataforma Oracle Fusion Middleware. Isso pode ser explorado por um invasor remoto para executar código arbitrário e obter controle total sobre o aplicativo via protocolo HTTP. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados que tenha acesso à rede. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere desativar o `UpdateConnectionServlet` até que um patch esteja disponível para evitar possíveis ataques de injeção JNDI e execução remota de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Platform Security for Java versões 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Platform Security for Java, podendo resultar em uma invasão. Isso é possível devido a uma vulnerabilidade no componente OPSS do Oracle Fusion Middleware. **Recomendações** Para as versões 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema, a fim de evitar uma possível exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server versões 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Web Services do Oracle WebLogic Server, permitindo que um invasor remoto obtenha acesso não autorizado ao dispositivo por meio dos protocolos T3 e IIOP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis no Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração. Evite usar dados não confiáveis no processo de desserialização do protocolo T3 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.12.41 do Oracle OSS Support Tools **Descrição** O problema está relacionado à restrição incorreta de referências a entidades externas XML no componente Diagnostic Assistant do Oracle OSS Support Tools. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações confidenciais. Uma exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis. **Recomendações** Para versões anteriores à 2.12.41, atualize para a versão 2.12.41 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Diagnostic Assistant para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0 Oracle WebLogic Server, versão 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via IIOP e protocolos T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.3.0 a 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso aos protocolos IIOP e T3 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0 Oracle WebLogic Server, versão 14.1.1.0.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via IIOP e protocolos T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.3.0 e 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso aos protocolos IIOP e T3 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente WLS Web Services do Oracle WebLogic Server, permitindo que um invasor com privilégios elevados e acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. **Recomendações** Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente WLS Web Services até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o uso dos protocolos IIOP e T3 para minimizar o risco de exploração. Restrinja o acesso de rede ao Oracle WebLogic Server para minimizar o risco de ataques remotos.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0 **Descrição** O problema está relacionado ao componente Core do Oracle WebLogic Server e é causado por um controle de acesso inadequado. Ele permite que um invasor não autenticado com acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade é facilmente explorável e já foi explorada na prática. Estima-se que mais de 300 servidores vulneráveis possam ser explorados, levando a graves ameaças à segurança. **Recomendações** Para as versões 10.3.6.0.0 a 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema, conforme fornecido na Atualização de Patches Críticos de abril de 2020 da Oracle. Como solução alternativa temporária, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração. Além disso, desativar a desserialização de dados não confiáveis no protocolo T3 pode ajudar a mitigar o problema até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux 4.4.x a 4.4.220 Versões do kernel Linux 4.9.x a 4.9.220 Versões do kernel Linux 4.14.x a 4.14.177 Versões do kernel Linux 4.19.x a 4.19.118 Versões do kernel Linux 5.x a 5.2 **Descrição** Uma condição de corrida (race condition) no pivot root no arquivo fs/namespace.c do kernel Linux permite que usuários locais provoquem uma negação de serviço (DoS) ao corromper um contador de referência de ponto de montagem, o que pode levar a um pânico do sistema. Esse problema está relacionado a erros de sincronização ao usar recursos compartilhados. **Recomendações** Para a versão 4.4.x do kernel Linux, atualize para a versão 4.4.221 ou posterior. Para a versão 4.9.x do kernel Linux, atualize para a versão 4.9.221 ou posterior. Para a versão 4.14.x do kernel Linux, atualize para a versão 4.14.178 ou posterior. Para o kernel Linux versão 4.19.x, atualize para a versão 4.19.119 ou posterior. Para o kernel Linux versão 5.x, atualize para a versão 5.3 ou posterior.