CVE-2020-14722

Oracle Enterprise Communications Broker, versões 3.0.0 a 3.2.0

O problema está relacionado à validação insuficiente de entradas no componente WebGUI do Oracle Enterprise Communications Broker, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado a dados, incluindo acesso para atualização, inserção ou exclusão de alguns dados e acesso de leitura a um subconjunto de dados. Além disso, os ataques podem causar uma negação parcial de serviço. O impacto de ataques bem-sucedidos pode se estender além do Oracle Enterprise Communications Broker.

Para as versões 3.0.0 a 3.2.0, considere restringir o acesso ao componente WebGUI até que uma correção esteja disponível e certifique-se de que todas as entradas sejam cuidadosamente validadas para evitar exploração. Como solução alternativa temporária, limite a capacidade de invasores remotos interagirem com o sistema via HTTP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.