PT-2020-3869 · Oracle · Oracle Commerce Experience Manager+1
Ted Raffle
·
Publicado
2020-07-15
·
Atualizado
2020-07-21
·
CVE-2020-14536
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Oracle Commerce Guided Search / Oracle Commerce Experience Manager versões anteriores à 11.3.1
Descrição:
A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Commerce Guided Search / Oracle Commerce Experience Manager. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis, bem como no acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. A vulnerabilidade existe devido à validação insuficiente de entradas no componente Workbench do Oracle Commerce Guided Search e do Oracle Commerce Experience Manager.
Recomendações:
Para versões anteriores à 11.3.1, atualize para a versão 11.3.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Workbench para minimizar o risco de exploração. Evite usar o protocolo HTTP para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre medidas de mitigação adicionais.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Commerce Experience Manager
Oracle Commerce Guided Search