PT-2020-1406 · Oracle · Enterprise Manager Base Platform
Publicado
2020-01-14
·
Atualizado
2022-07-28
·
CVE-2020-2646
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Enterprise Manager Base Platform, versões 12.1.0.5 a 13.3.0.0
Descrição
O problema está relacionado a um controle de acesso inadequado no componente Interface de Linha de Comando (CLI) da Enterprise Manager Base Platform. Isso permite que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou acessar informações protegidas por meio do protocolo HTTP. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados e acesso à rede. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a alguns dados e acesso de leitura a um subconjunto dos dados acessíveis da plataforma.
Recomendações
Para as versões 12.1.0.5, 13.2.0.0 e 13.3.0.0, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração.
Como solução alternativa temporária, considere restringir o acesso ao componente Interface de Linha de Comando até que um patch esteja disponível.
Restrinja o acesso ao protocolo HTTP para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enterprise Manager Base Platform