CVE-2020-14766

Oracle Business Intelligence Enterprise Edition, versões 5.5.0.0.0 a 12.2.1.4.0

O problema está relacionado à validação insuficiente de entradas no componente Analytics Web Administration. Isso pode ser explorado por um invasor remoto para modificar, adicionar ou excluir dados usando o protocolo HTTP. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis.

Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Analytics Web Administration até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar o componente Analytics Web Administration para minimizar o risco de exploração.

Evite usar o protocolo HTTP para acessar dados confidenciais no Oracle Business Intelligence Enterprise Edition afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.