CVE-2020-2735

Oracle Database Server versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c

A vulnerabilidade está relacionada a um controle de acesso insuficiente no componente Java VM do Oracle Database Server. Ela pode ser explorada por um invasor remoto para obter controle total sobre o aplicativo usando o protocolo de rede Oracle Net. A exploração é difícil e requer um invasor com privilégios limitados, possuindo o privilégio Create Session e acesso à rede via Oracle Net. Ataques bem-sucedidos exigem interação humana de alguém além do invasor e podem impactar significativamente outros produtos, levando potencialmente à tomada de controle da Java VM.

Para as versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente Java VM para minimizar o risco de exploração até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar o privilégio “Create Session” para invasores com privilégios limitados, a fim de reduzir o risco de comprometimento.

Restrinja o acesso à rede via Oracle Net para minimizar o potencial de exploração remota.