PT-2020-2191 · Oracle · Oracle Advanced Outbound Telephony+1
Fangrun Li
+3
·
Publicado
2020-04-15
·
Atualizado
2020-04-16
·
CVE-2020-2863
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle E-Business Suite, versões 12.1.1 a 12.1.3
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Interface do Usuário do Oracle Advanced Outbound Telephony. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Advanced Outbound Telephony, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle Advanced Outbound Telephony. Ataques bem-sucedidos também podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis pelo Oracle Advanced Outbound Telephony.
Recomendações
Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente de interface do usuário do Oracle Advanced Outbound Telephony para minimizar o risco de exploração. Como solução alternativa temporária, limite o uso de solicitações HTTP ao componente afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Advanced Outbound Telephony
Oracle E-Business Suite