CVE-2020-14548

**Nome do software vulnerável e versões afetadas:

Oracle Business Intelligence Enterprise Edition, versões 12.2.1.3.0 a 12.2.1.4.0

Descrição:

A vulnerabilidade existe devido à validação insuficiente de entradas no componente Analytics Web General do Oracle Business Intelligence Enterprise Edition. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. A vulnerabilidade é difícil de explorar e requer a interação humana de uma pessoa que não seja o invasor. Ataques bem-sucedidos podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis no Oracle Business Intelligence Enterprise Edition, podendo afetar outros produtos.

Recomendações:

Para as versões 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Analytics Web General até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de interações do protocolo HTTP com o componente afetado para minimizar o risco de exploração.