PT-2020-2134 · Oracle · Oracle Enterprise Manager
Alexander Kornbrust
·
Publicado
2020-04-15
·
Atualizado
2020-04-16
·
CVE-2020-2946
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Oracle Enterprise Manager versões 12.1.0.5, 13.2.0.0, 13.3.0.0
Descrição
O problema está relacionado a um controle de acesso insuficiente no componente Application Performance Management do Oracle Enterprise Manager, especificamente no módulo EM Request Monitoring. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado a informações confidenciais ou para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso total a todos os dados acessíveis ou a capacidade de atualizar, inserir ou excluir dados, bem como causar uma negação de serviço parcial.
Recomendações
Para as versões 12.1.0.5, 13.2.0.0 e 13.3.0.0, considere restringir o acesso ao componente EM Request Monitoring até que uma correção esteja disponível.
Como solução alternativa temporária, limite o uso do protocolo HTTP para acessar o produto Application Performance Management a fim de minimizar o risco de exploração.
Restrinja o acesso de rede ao componente Application Performance Management para reduzir o potencial de acesso não autorizado.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Enterprise Manager