PT-2020-2386 · Oracle · Oracle Access Manager+1
Lalit Naphade
·
Publicado
2020-04-15
·
Atualizado
2020-04-15
·
CVE-2020-2740
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Oracle Access Manager versões 11.1.2.3.0 e 12.2.1.3.0
Descrição
O problema está relacionado ao componente Authentication Engine do Oracle Access Manager no Oracle Fusion Middleware, que apresenta falhas na proteção de dados internos. Isso permite que um invasor com poucos privilégios e acesso à rede via HTTP comprometa o Oracle Access Manager. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Access Manager, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Oracle Access Manager.
Recomendações
Para a versão 11.1.2.3.0, atualize para uma versão que inclua a correção para este problema.
Para a versão 12.2.1.3.0, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Authentication Engine até que um patch esteja disponível.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Access Manager
Oracle Fusion Middleware