Veronica Venturi

**Nome do software vulnerável e versões afetadas** IBM UrbanCode Deploy, versões 6.2.0.0 a 6.2.7.18 IBM UrbanCode Deploy, versões 7.0.5.0 a 7.0.5.13 IBM UrbanCode Deploy, versões 7.1.0.0 a 7.1.2.9 Versões do IBM UrbanCode Deploy 7.2.0.0 a 7.2.3.2 Versão 7.3.0.0 do IBM UrbanCode Deploy **Descrição** Esta vulnerabilidade permite que usuários incorporem código JavaScript arbitrário na interface de usuário da Web, alterando a funcionalidade pretendida e potencialmente levando à divulgação de credenciais dentro de uma sessão confiável. **Recomendações** Para as versões do IBM UrbanCode Deploy 6.2.0.0 a 6.2.7.18, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 7.0.5.0 a 7.0.5.13 do IBM UrbanCode Deploy, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 7.1.0.0 a 7.1.2.9 do IBM UrbanCode Deploy, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 7.2.0.0 a 7.2.3.2 do IBM UrbanCode Deploy, atualize para uma versão fora desse intervalo para resolver o problema. Para a versão 7.3.0.0 do IBM UrbanCode Deploy, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de usuário da Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Business Intelligence Enterprise Edition versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Analytics Web General. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition; no entanto, para que os ataques sejam bem-sucedidos, é necessária a interação humana de uma pessoa que não seja o invasor. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para leitura de um subconjunto desses dados. **Recomendações** Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Analytics Web General até que um patch esteja disponível. Como solução alternativa temporária, considere desativar as solicitações HTTP para minimizar o risco de exploração. Restrinja o acesso a dados confidenciais para minimizar o impacto de um possível acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.