PT-2020-3280 · Oracle · Primavera P6 Enterprise Project Portfolio Management
Publicado
2020-07-15
·
Atualizado
2020-07-20
·
CVE-2020-14706
CVSS v2.0
6.1
Média
| Vetor | AV:N/AC:H/Au:N/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
Primavera P6 Enterprise Project Portfolio Management, versões 17.1.0.0 a 17.12.17.1
Primavera P6 Enterprise Project Portfolio Management, versões 18.1.0.0 a 18.8.19
Primavera P6 Enterprise Project Portfolio Management, versões 19.12.0 a 19.12.5
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Web Access. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Primavera P6 Enterprise Project Portfolio Management, exigindo a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos, acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis.
Recomendações
Para as versões 17.1.0.0 a 17.12.17.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 18.1.0.0 a 18.8.19, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 19.12.0 a 19.12.5, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao componente Web Access até que um patch esteja disponível.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Primavera P6 Enterprise Project Portfolio Management