PT-2020-3254 · Oracle · Primavera Portfolio Management
Publicado
2020-07-15
·
Atualizado
2020-07-21
·
CVE-2020-2562
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Primavera Portfolio Management, versões 16.1.0.0 a 16.1.5.1
Primavera Portfolio Management, versões 18.0.0.0 a 18.0.2.0
Primavera Portfolio Management, versão 19.0.0.0
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no componente Módulo de Investidores do Primavera Portfolio Management. Isso permite que um invasor remoto obtenha acesso não autorizado para modificar, adicionar ou excluir dados, ou acessar informações protegidas via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis.
Recomendações
Para as versões 16.1.0.0 a 16.1.5.1, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões 18.0.0.0 a 18.0.2.0, atualize para uma versão fora desse intervalo para resolver o problema.
Para a versão 19.0.0.0, atualize para uma versão mais recente para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Módulo de Investidores até que um patch esteja disponível.
Correção
XSS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Primavera Portfolio Management