PT-2020-3374 · Oracle · Primavera P6 Enterprise Project Portfolio Management
Publicado
2020-07-15
·
Atualizado
2020-07-20
·
CVE-2020-14653
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Primavera P6 Enterprise Project Portfolio Management, versões 16.1.0.0 a 16.2.20.1
Primavera P6 Enterprise Project Portfolio Management, versões 17.1.0.0 a 17.12.17.1
Primavera P6 Enterprise Project Portfolio Management, versões 18.1.0.0 a 18.8.18.2
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Web Access do aplicativo Oracle Primavera P6 Enterprise Project Portfolio Management. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas ou modifique, adicione ou exclua dados. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis.
Recomendações
Para as versões 16.1.0.0 a 16.2.20.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 17.1.0.0 a 17.12.17.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 18.1.0.0 a 18.8.18.2, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao componente Web Access até que um patch esteja disponível.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Primavera P6 Enterprise Project Portfolio Management