PT-2020-2123 · Oracle · Primavera P6 Enterprise Project Portfolio Management
Owais Zaman
+1
·
Publicado
2020-04-15
·
Atualizado
2020-04-16
·
CVE-2020-2594
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Primavera P6 Enterprise Project Portfolio Management, versões 16.2.0.0 a 16.2.19.3
Primavera P6 Enterprise Project Portfolio Management, versões 17.12.0.0 a 17.12.17.0
Primavera P6 Enterprise Project Portfolio Management, versões 18.8.0.0 a 18.8.18.0
Primavera P6 Enterprise Project Portfolio Management, versões 19.12.1.0 a 19.12.3.0
Primavera P6 Enterprise Project Portfolio Management, versões 20.1.0.0 a 20.2.0.0
Descrição
A vulnerabilidade está relacionada a um controle de acesso insuficiente no componente Project Manager do produto Primavera P6 Enterprise Project Portfolio Management. Ela permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem a interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A exploração pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis e a capacidade de causar uma negação de serviço parcial.
Recomendações
Para as versões 16.2.0.0 a 16.2.19.3, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 17.12.0.0 a 17.12.17.0, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 18.8.0.0 a 18.8.18.0, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 19.12.1.0 a 19.12.3.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Primavera P6 Enterprise Project Portfolio Management