CVE-2020-2973

Oracle Application Express, versões 5.1 a 19.2

A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Application Express do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou para acessar informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle Application Express, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do Oracle Application Express.

Para as versões 5.1 a 19.2, considere restringir o acesso ao privilégio do SQL Workshop para minimizar o risco de exploração e certifique-se de que todos os usuários com esse privilégio sejam confiáveis e monitorados. Como solução alternativa temporária, considere desativar o acesso HTTP ao Oracle Application Express até que um patch esteja disponível. Restrinja o acesso de rede via HTTP ao componente Oracle Application Express para minimizar o risco de exploração.