PT-2020-1495 · Oracle · Enterprise Manager For Fusion Middleware
Alexander Kornbrust
·
Publicado
2020-01-14
·
Atualizado
2022-04-29
·
CVE-2020-2614
CVSS v2.0
8.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:P/A:P |
Nome do software vulnerável e versões afetadas
Enterprise Manager for Fusion Middleware, versões 13.2.0.0 a 13.3.0.0
Descrição
O problema está relacionado ao controle de acesso insuficiente no componente APM Mesh do produto Enterprise Manager for Fusion Middleware. Isso permite que um invasor remoto obtenha acesso para modificar, adicionar ou excluir dados, obter acesso não autorizado a informações protegidas ou causar uma negação de serviço usando o protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, acesso não autorizado para atualizar, inserir ou excluir alguns dados e a capacidade de causar uma negação de serviço parcial.
Recomendações
Para as versões 13.2.0.0 e 13.3.0.0, considere restringir o acesso ao componente APM Mesh até que um patch esteja disponível.
Como solução alternativa temporária, limite o acesso de rede via HTTP ao Enterprise Manager for Fusion Middleware para minimizar o risco de exploração.
Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enterprise Manager For Fusion Middleware