PT-2021-2808 · Oracle · Oracle E-Business Suite+1
Publicado
2021-04-20
·
Atualizado
2021-04-29
·
CVE-2021-2260
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Oracle E-Business Suite, versão 12.1.3
Descrição
O problema está relacionado a um controle de acesso inadequado no componente iRecruitment do Oracle Human Resources, permitindo que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Human Resources. Ataques bem-sucedidos podem resultar na criação, exclusão ou modificação não autorizadas de dados críticos ou de todos os dados acessíveis do Oracle Human Resources, bem como no acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis do Oracle Human Resources.
Recomendações
Para a versão 12.1.3, considere restringir o acesso ao componente iRecruitment até que um patch esteja disponível para minimizar o risco de exploração. Além disso, revise e reforce os controles de acesso ao Oracle Human Resources para impedir a modificação ou o acesso não autorizado aos dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle E-Business Suite
Oracle Human Resources