CVE-2020-14681

Oracle E-Business Suite, versões 12.1.1 a 12.1.3

O problema está relacionado ao controle de acesso insuficiente no componente DBI Setups do Oracle E-Business Intelligence. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle E-Business Intelligence, levando potencialmente ao acesso não autorizado a dados críticos ou ao acesso completo a todos os dados acessíveis pelo Oracle E-Business Intelligence. Ataques bem-sucedidos também podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle E-Business Intelligence. Esses ataques exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos.

Para as versões 12.1.1 a 12.1.3, considere restringir o acesso ao componente DBI Setups até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso remoto a fim de minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários com acesso ao Oracle E-Business Intelligence estejam cientes dos riscos potenciais e tomem as precauções necessárias para evitar serem vítimas de ataques de engenharia social que possam ser usados para explorar essa vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.