Ved Prabhu

**Name of the Vulnerable Software and Affected Versions** Oracle APEX Sample Applications versions 23.2.0 through 23.2.1 Oracle APEX Sample Applications versions 24.1.0 through 24.2.1 **Description** A flaw exists within the Oracle APEX Sample Applications product, specifically the Brookstrut Sample App component. This issue allows a low-privileged attacker with network access via HTTP to compromise the application. Exploitation requires interaction from a user other than the attacker. While the issue is present in Oracle APEX Sample Applications, attacks may impact other products. Successful exploitation can lead to unauthorized data modification, insertion, deletion, and read access. **Recommendations** Update Oracle APEX Sample Applications to a version later than 24.2.1. Update Oracle APEX Sample Applications to a version later than 23.2.1. Update Oracle APEX Sample Applications to a version later than 24.1.0. Update Oracle APEX Sample Applications to a version later than 23.2.0.

**Nome do Software Vulnerável e Versões Afetadas** Oracle MySQL versões 8.0.0 até 8.0.42 Oracle MySQL versões 8.4.0 até 8.4.5 Oracle MySQL versões 9.0.0 até 9.3.0 **Descrição** Este problema afeta o componente InnoDB do Oracle MySQL Server. A exploração bem-sucedida pode levar a uma condição de negação de serviço (DoS), fazendo com que o servidor trave ou falhe repetidamente. A vulnerabilidade é facilmente explorável e requer acesso à rede com privilégios elevados. **Recomendações** Oracle MySQL versões anteriores a 8.0.43 Oracle MySQL versões anteriores a 8.4.6 Oracle MySQL versões anteriores a 9.3.1

**Name of the Vulnerable Software and Affected Versions** Oracle Application Express Team Calendar Plugin versions 18.2 through 22.1 **Description** The issue is related to insufficient input validation in the Application Express Team Calendar Plugin component of Oracle Application Express. This easily exploitable flaw allows a low-privileged attacker with network access via HTTP to compromise the plugin. Successful attacks require human interaction from a person other than the attacker and may significantly impact additional products. The exploitation of this issue can result in the takeover of the Application Express Team Calendar Plugin. **Recommendations** For versions 18.2 through 22.1, update to a version that includes the fix for this issue to prevent potential takeover of the Application Express Team Calendar Plugin. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Application Express Customers Plugin versions 18.2 through 22.2 **Description** The issue exists due to insufficient input validation in the Application Express Customers Plugin component of Oracle Application Express. This allows a remote attacker to modify, add, or delete data using the HTTP protocol. Successful attacks require human interaction and may significantly impact additional products. The vulnerability can result in the takeover of the Application Express Customers Plugin. **Recommendations** For versions 18.2 through 22.2, update to a version that includes the fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Cisco Webex App for Web (affected versions not specified) **Description** The issue is related to the file upload functionality of the Cisco Webex App for Web, where insufficient validation of user-supplied input allows an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack against a user of the interface. An attacker could exploit this by sending an arbitrary file to a user and persuading that user to browse to a specific URL, potentially allowing the execution of arbitrary script code in the context of the affected interface or access to sensitive, browser-based information. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Application Express Data Reporter anteriores à 21.1.0.00.04 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express Data Reporter do Oracle Database Server. Essa vulnerabilidade, facilmente explorável, permite que um invasor com privilégios limitados, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o Oracle Application Express Data Reporter. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express Data Reporter, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express Data Reporter. **Recomendações** Para versões anteriores à 21.1.0.00.04, atualize para a versão 21.1.0.00.04 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Data Reporter para minimizar o risco de exploração. Além disso, certifique-se de que todas as entradas sejam cuidadosamente validadas para impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas: Oracle Database Server, versões anteriores à 20.2 Descrição: O problema está relacionado ao componente Oracle Application Express Survey Builder. Ele permite que um invasor com poucos privilégios, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente. Ataques bem-sucedidos exigem interação humana e podem afetar significativamente outros produtos, resultando em acesso não autorizado aos dados. A vulnerabilidade pode permitir que um invasor atualize, insira ou exclua dados, bem como obtenha acesso de leitura a um subconjunto de dados. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Survey Builder para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Database Server anteriores à 20.2 Descrição: O problema está relacionado ao controle de acesso insuficiente no componente Oracle Application Express Opportunity Tracker. Isso permite que um invasor com privilégios limitados, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado aos dados, incluindo acesso para atualização, inserção, exclusão e leitura de alguns dos dados acessíveis. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Opportunity Tracker para minimizar o risco de exploração. Além disso, restrinja o acesso à rede via HTTP ao componente até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Oracle Application Express Packaged Apps, versões anteriores à 20.2 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express Packaged Apps. Isso permite que um invasor com poucos privilégios, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente. Ataques bem-sucedidos exigem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados, incluindo acesso para atualização, inserção, exclusão e leitura de alguns dos dados acessíveis. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Packaged Apps para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Database Server anteriores à 20.2 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express Data Reporter. Isso permite que um invasor com poucos privilégios, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente. Ataques bem-sucedidos exigem interação humana e podem afetar significativamente outros produtos, resultando em acesso não autorizado aos dados. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Data Reporter para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Application Express anteriores à 20.2 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados, mas com acesso ao SQL Workshop e à rede via HTTP, comprometa o Oracle Application Express. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Application Express, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle Application Express. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Além disso, restrinja o acesso à rede via HTTP ao componente Oracle Application Express até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Application Express Group Calendar anteriores à 20.2 Descrição: A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Application Express Group Calendar do Oracle Database Server. Isso permite que um invasor remoto, com uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente, afetando potencialmente a confidencialidade e a integridade das informações protegidas. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem afetar significativamente outros produtos, resultando em acesso não autorizado a alguns dados. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Group Calendar até que um patch esteja disponível. Além disso, restrinja o acesso à rede via HTTP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Oracle Database Server anteriores à 20.2 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Quick Poll do Oracle Application Express. Isso permite que um invasor com poucos privilégios, possuindo uma conta de usuário válida e acesso à rede via HTTP, comprometa o componente. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem afetar significativamente outros produtos. O impacto inclui acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados. Recomendações: Para versões anteriores à 20.2, atualize para a versão 20.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express Quick Poll para minimizar o risco de exploração.