PT-2020-2109 · Oracle · Oracle E-Business Suite
Tuan Anh Nguyen
·
Publicado
2020-04-15
·
Atualizado
2020-04-17
·
CVE-2020-2817
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle E-Business Suite, versões 12.1.1 a 12.1.3
Descrição
A vulnerabilidade está relacionada a um controle de acesso inadequado no componente Oracle Scripting do Oracle E-Business Suite. Ela permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Scripting, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle Scripting. O invasor também pode obter acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Scripting. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor.
Recomendações
Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente Oracle Scripting via HTTP para minimizar o risco de exploração até que um patch esteja disponível.
Como solução alternativa temporária, limite o uso de dados confidenciais no Oracle Scripting para reduzir o impacto potencial do acesso não autorizado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle E-Business Suite