CVE-2020-2975

Oracle Application Express, versões 5.1 a 19.2

A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou acessar informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Oracle Application Express.

Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração. Como solução alternativa temporária, limite o acesso de rede via HTTP ao componente Oracle Application Express até que um patch esteja disponível. Evite depender de interação humana que possa facilitar o ataque.