PT-2020-2292 · Oracle · Oracle Database Server+1
Roger Meyer
·
Publicado
2020-04-14
·
Atualizado
2020-04-15
·
CVE-2020-2514
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:N/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Oracle Application Express anteriores à 19.2
Descrição
O problema está relacionado a um controle de acesso inadequado no componente Oracle Application Express do Oracle Database Server. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTPS comprometa o Oracle Application Express, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como na capacidade não autorizada de causar uma negação de serviço parcial do Oracle Application Express.
Recomendações
Para versões anteriores à 19.2, atualize para a versão 19.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Application Express para minimizar o risco de exploração. Além disso, restrinja o acesso à rede via HTTPS apenas aos usuários necessários para reduzir a superfície de ataque.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Application Express
Oracle Database Server