PT-2021-1718 · Oracle · Oracle Bi Publisher
Chauuhm
·
Publicado
2021-01-19
·
Atualizado
2021-01-26
·
CVE-2021-2062
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Oracle BI Publisher, versões 5.5.0.0.0 a 5.5.0.0.0
Oracle BI Publisher, versões 11.1.1.9.0 a 11.1.1.9.0
Oracle BI Publisher, versões 12.2.1.3.0 a 12.2.1.4.0
Descrição:
O problema está relacionado a um controle de acesso inadequado no componente Web Server do Oracle BI Publisher, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle BI Publisher, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados.
Recomendações:
Para o Oracle BI Publisher versão 5.5.0.0.0, atualize para uma versão mais recente para mitigar o risco.
Para o Oracle BI Publisher versão 11.1.1.9.0, atualize para uma versão mais recente para mitigar o risco.
Para as versões do Oracle BI Publisher 12.2.1.3.0 a 12.2.1.4.0, atualize para uma versão mais recente para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao componente Web Server até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Bi Publisher