Roger Meyer

**Nome do software vulnerável e versões afetadas: Oracle REST Data Services, versões 11.2.0.4 a 19c Versões autônomas do ORDS anteriores à 20.2.1 Descrição: O problema está relacionado a erros no mecanismo de segurança do componente Geral do Oracle REST Data Services. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle REST Data Services, resultando em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle REST Data Services. Recomendações: Para as versões 11.2.0.4 a 19c do Oracle REST Data Services, atualize para uma versão posterior à 19c ou aplique o patch necessário. Para versões autônomas do ORDS anteriores à 20.2.1, atualize para a versão 20.2.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint HTTP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com acesso ao SQL Workshop e à rede via HTTP, comprometa o Oracle Application Express. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do acesso de rede HTTP para reduzir a vulnerabilidade a ataques. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou acessar informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Como solução alternativa temporária, limite o acesso de rede via HTTP ao componente Oracle Application Express até que um patch esteja disponível. Evite depender de interação humana que possa facilitar o ataque.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com acesso ao SQL Workshop e à rede via HTTP, comprometa o Oracle Application Express. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Além disso, restrinja o acesso à rede via HTTP ao componente Oracle Application Express até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com acesso ao SQL Workshop e à rede via HTTP, comprometa o Oracle Application Express. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Como solução alternativa temporária, limite o uso do acesso de rede HTTP ao Oracle Application Express até que um patch esteja disponível. Evite usar o componente vulnerável do Oracle Application Express até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com acesso ao SQL Workshop e à rede via HTTP, comprometa o Oracle Application Express. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Como solução alternativa temporária, limite o acesso à rede via HTTP ao componente Oracle Application Express até que um patch esteja disponível. Evite usar o componente Oracle Application Express para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server, versões 5.1 a 19.2 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente SQL Workshop do Oracle Database Server. Isso permite que um invasor remoto com privilégios no SQL Workshop e acesso à rede via HTTP possa obter acesso não autorizado para modificar, adicionar ou excluir dados, ou para acessar informações protegidas. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso de leitura não autorizado a um subconjunto de dados. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao componente SQL Workshop até que uma correção esteja disponível. Como solução alternativa temporária, limite o acesso de rede via HTTP ao componente Oracle Application Express para minimizar o risco de exploração. Evite usar o privilégio do SQL Workshop para operações não essenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Application Express, versões 5.1 a 19.2 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou para acessar informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Oracle Application Express. **Recomendações** Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração e certifique-se de que todos os usuários com esse privilégio sejam confiáveis e monitorados. Como solução alternativa temporária, considere desativar o acesso HTTP ao Oracle Application Express até que um patch esteja disponível. Restrinja o acesso de rede via HTTP ao componente Oracle Application Express para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Application Express anteriores à 19.2 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTPS comprometa o Oracle Application Express, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como na capacidade não autorizada de causar uma negação de serviço parcial do Oracle Application Express. **Recomendações** Para versões anteriores à 19.2, atualize para a versão 19.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express para minimizar o risco de exploração. Além disso, restrinja o acesso à rede via HTTPS apenas aos usuários necessários para reduzir a superfície de ataque.