PT-2021-1902 · Oracle · Oracle Hospitality Reporting/Analytics
Publicado
2021-01-19
·
Atualizado
2021-01-22
·
CVE-2021-1997
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Oracle Hospitality Reporting and Analytics versão 9.1.0
Descrição
O problema está relacionado a um controle de acesso insuficiente no componente Report do Oracle Hospitality Reporting and Analytics. Isso pode ser explorado por um invasor remoto com privilégios limitados, por meio do protocolo HTTP, para obter acesso não autorizado para modificar, adicionar ou excluir dados, ou para acessar informações protegidas. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizada de dados críticos, bem como no acesso total a todos os dados acessíveis.
Recomendações
Para a versão 9.1.0, atualize para uma versão mais recente que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Report para minimizar o risco de exploração. Além disso, restrinja o acesso de rede via HTTP ao produto Oracle Hospitality Reporting and Analytics para reduzir a superfície de ataque.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Hospitality Reporting/Analytics