Tuan Anh Nguyen

**Nome do software vulnerável e versões afetadas** Oracle Agile Product Lifecycle Management for Process, versões anteriores à 6.2.4.2 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente de instalação do produto Oracle Agile Product Lifecycle Management for Process. Isso pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados e a capacidade de causar uma negação de serviço parcial. **Recomendações** Para versões anteriores à 6.2.4.2, atualize para a versão 6.2.4.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à rede via HTTP ao componente de instalação até que um patch seja aplicado. Além disso, monitore o sistema em busca de qualquer atividade suspeita e aplique quaisquer alterações de configuração ou soluções alternativas disponíveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.8 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Miscellaneous do Oracle Scripting, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Scripting. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Scripting, afetando a confidencialidade, a integridade e a disponibilidade. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.8, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao endpoint HTTP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0 **Descrição** O problema se deve à validação insuficiente de entradas no componente Analytics Web General. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dos dados. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Analytics Web General até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP para minimizar o risco de exploração. Evite usar o componente vulnerável para operações críticas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: A vulnerabilidade no produto Oracle Trade Management do Oracle E-Business Suite está relacionada à validação insuficiente de entradas no componente Interface do Usuário. Essa falha pode ser explorada por um invasor não autenticado com acesso à rede via HTTP, permitindo que ele comprometa o Oracle Trade Management. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis pelo Oracle Trade Management, bem como no acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle Trade Management. Recomendações: Para as versões 12.1.1 a 12.1.3 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente da Interface do Usuário até que um patch esteja disponível. Evite usar o protocolo HTTP para acessar o Oracle Trade Management até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Universal Work Queue versão 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Work Provider Administration do aplicativo Oracle Universal Work Queue. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais, executar código arbitrário ou causar uma negação de serviço. **Recomendações** Para a versão 12.1.3, atualize para uma versão mais recente que inclua uma correção para este problema, a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao componente Work Provider Administration para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Oracle Universal Work Queue, versões 12.2.3 a 12.2.9 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Operações Internas do Oracle Universal Work Queue, parte do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto usando o protocolo HTTP para obter controle total sobre o aplicativo. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados e acesso à rede, levando potencialmente à tomada de controle do Oracle Universal Work Queue. Recomendações: Para as versões 12.2.3 a 12.2.9, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao componente Operações Internas até que um patch esteja disponível. Evite usar o protocolo HTTP para acessar o Oracle Universal Work Queue até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Oracle E-Business Suite, versões 12.1.1 a 12.1.3 Oracle E-Business Suite, versões 12.2.3 a 12.2.10 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Administração de Marketing do Oracle Marketing, parte do sistema Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Marketing. Recomendações: Para as versões 12.1.1 a 12.1.3 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.10 do Oracle E-Business Suite, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao componente Marketing Administration até que um patch esteja disponível. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle CRM Gateway for Mobile Devices, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Configuração de Aplicativos Móveis. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações protegidas ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle CRM Gateway for Mobile Devices, resultando potencialmente na criação, exclusão ou modificação não autorizada de dados críticos. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente “Setup of Mobile Applications” do produto Oracle CRM Gateway for Mobile Devices. Essa vulnerabilidade, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle CRM Gateway for Mobile Devices. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis, bem como no acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite versões 12.1.3 e 12.2.3 a 12.2.9 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Preferências do Oracle CRM Technical Foundation, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle CRM Technical Foundation. **Recomendações** Para as versões 12.1.3 e 12.2.3 a 12.2.9, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Intelligence, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente DBI Setups do Oracle E-Business Intelligence, parte do Oracle E-Business Suite. Isso permite que um invasor remoto obtenha acesso não autorizado a informações confidenciais ou modifique, adicione ou exclua dados usando o protocolo HTTP. Ataques bem-sucedidos exigem alguma interação de alguém além do invasor e podem impactar significativamente outros produtos, levando ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis dentro do Oracle E-Business Intelligence. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente DBI Setups até que uma correção esteja disponível e certifique-se de que todas as interações com o sistema Oracle E-Business Intelligence sejam monitoradas de perto para evitar modificações não autorizadas nos dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle iSupport, versões 12.1.1 a 12.1.3 Oracle iSupport, versões 12.2.3 a 12.2.8 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente de interface do usuário do Oracle iSupport, permitindo que um invasor remoto modifique, adicione ou exclua dados usando o protocolo HTTP. A vulnerabilidade pode ser explorada por um invasor não autenticado com acesso à rede, mas ataques bem-sucedidos exigem interação humana de alguém que não seja o invasor. Este problema pode ter um impacto significativo em outros produtos e pode resultar em acesso não autorizado para modificar, inserir ou excluir alguns dos dados acessíveis do Oracle iSupport. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 12.2.3 a 12.2.8, atualize para uma versão fora desse intervalo para mitigar o risco. Como solução temporária, considere restringir o acesso ao componente Interface do Usuário até que um patch esteja disponível. Restrinja o acesso ao protocolo HTTP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente de administração do Oracle Marketing Encyclopedia System. Isso permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Administração até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para operações confidenciais. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Knowledge, versões 8.6.0 a 8.6.3 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Information Manager Console do Oracle Knowledge, permitindo que um invasor remoto provoque uma negação de serviço por meio do protocolo HTTP. Isso pode resultar na capacidade não autorizada de fazer com que o sistema trave ou falhe repetidamente, levando a uma negação completa de serviço. **Recomendações** Para as versões 8.6.0 a 8.6.3, atualize para uma versão que inclua a correção para este problema, a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** A vulnerabilidade está relacionada a um controle de acesso inadequado no componente Oracle Scripting do Oracle E-Business Suite. Ela permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Scripting, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle Scripting. O invasor também pode obter acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Scripting. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Oracle Scripting via HTTP para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de dados confidenciais no Oracle Scripting para reduzir o impacto potencial do acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Intelligence, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no componente DBI Setups do Oracle E-Business Intelligence, parte do Oracle E-Business Suite. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem exigir a interação de alguém além do invasor e podem impactar significativamente outros produtos, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis no Oracle E-Business Intelligence. **Recomendações** Para as versões 12.1.1 a 12.1.3, atualize para uma versão que inclua a correção para este problema a fim de impedir o acesso não autorizado e a modificação de dados. Como solução alternativa temporária, considere restringir o acesso ao componente DBI Setups até que um patch esteja disponível. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a um controle de acesso inadequado no produto Oracle iSupport, especificamente no componente Profile. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle iSupport, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle iSupport. O ataque requer interação humana de uma pessoa que não seja o invasor e pode impactar significativamente outros produtos. A exploração bem-sucedida pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle iSupport. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Profile até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para o Oracle iSupport a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Asset Liability Management, versões 8.0.6 a 8.0.7 **Descrição** O problema está relacionado à falta de proteção dos dados de serviço no componente de interface do usuário do Oracle Financial Services Asset Liability Management. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em criação, exclusão ou modificação não autorizadas de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 8.0.6 e 8.0.7, atualize para uma versão que inclua a correção para este problema, a fim de impedir o acesso não autorizado e a modificação de dados. Como solução alternativa temporária, considere restringir o acesso ao componente Interface do Usuário até que um patch esteja disponível. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Oracle Financial Services Hedge Management e IFRS Valuations, versões 8.0.6 a 8.0.8 **Descrição** O problema está relacionado à falta de proteção dos dados de serviço no componente Interface do Usuário do Oracle Financial Services Hedge Management and IFRS Valuations. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis. **Recomendações** Para as versões 8.0.6 a 8.0.8, considere restringir o acesso ao componente Interface do Usuário até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle E-Business Suite, versões 12.1.1 a 12.1.3 **Descrição** O problema está relacionado a controles de acesso inadequados no componente “Estimate and Actual Charges” do Oracle Depot Repair, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. **Recomendações** Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Estimate and Actual Charges até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o Oracle Depot Repair a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do potencial de ataques de engenharia social que podem ser usados em conjunto com este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.