PT-2020-1307 · Oracle · Oracle Identity Manager
Devin Rosenbauer
·
Publicado
2020-01-14
·
Atualizado
2022-10-17
·
CVE-2020-2729
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Oracle Identity Manager, versões 11.1.2.3.0 a 12.2.1.3.0
Descrição
O problema está relacionado a um controle de acesso inadequado no componente Advanced Console do Oracle Identity Manager. Ele pode ser explorado por um invasor remoto para comprometer a integridade dos dados ou divulgar informações protegidas via protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados do Identity Manager, bem como acesso de leitura não autorizado a um subconjunto de dados do Identity Manager.
Recomendações
Para as versões 11.1.2.3.0 e 12.2.1.3.0, considere restringir o acesso ao componente Advanced Console até que um patch esteja disponível.
Como solução alternativa temporária, limite o acesso de rede via HTTP ao Identity Manager para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Identity Manager