PT-2020-2368 · Oracle · Oracle Insurance Accounting Analyzer
Publicado
2020-04-15
·
Atualizado
2020-04-16
·
CVE-2020-2937
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:P/I:C/A:N |
Nome do software vulnerável e versões afetadas
Oracle Insurance Accounting Analyzer, versões 8.0.6 a 8.0.9
Descrição
O problema está relacionado à falta de proteção dos dados de serviço no componente Interface do Usuário do produto Oracle Insurance Accounting Analyzer. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis.
Recomendações
Para as versões 8.0.6 a 8.0.9, considere restringir o acesso ao componente Interface do Usuário até que um patch esteja disponível para impedir a exploração. Além disso, limite o uso de solicitações HTTP para minimizar o risco de acesso não autorizado aos dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Insurance Accounting Analyzer