CVE-2021-2107

**Nome do software vulnerável e versões afetadas:

Oracle Customer Interaction History, versões 12.1.1 a 12.1.3

Oracle Customer Interaction History, versões 12.2.3 a 12.2.10

Descrição:

O problema está relacionado a um controle de acesso insuficiente no componente Outcome-Result do Oracle Customer Interaction History. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas ou leia, adicione ou exclua dados usando o protocolo HTTP. Ataques bem-sucedidos exigem a interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos, resultando em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis, bem como acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis.

Recomendações:

Para as versões 12.1.1 a 12.1.3 do Oracle Customer Interaction History, atualize para uma versão fora desse intervalo para mitigar o risco.

Para as versões 12.2.3 a 12.2.10 do Oracle Customer Interaction History, atualize para uma versão fora desse intervalo para mitigar o risco.

Como solução alternativa temporária, considere restringir o acesso ao componente Outcome-Result até que um patch esteja disponível.

Restrinja o acesso ao protocolo HTTP para minimizar o risco de exploração.